hcna 订阅
华为认证网络工程师是由华为公司认证与采购部推出的独立认证体系,与之前的华为认证不同,简称HCNA。 同时华为认证是华为技术有限公司凭借多年信息通信技术人才培养经验,以及对行业发展的理解,以层次化的职业技术认证为指引,推出的覆盖IP、IT、CT以及ICT融合技术领域的认证体系,是ICT全技术领域认证体系。 展开全文
华为认证网络工程师是由华为公司认证与采购部推出的独立认证体系,与之前的华为认证不同,简称HCNA。 同时华为认证是华为技术有限公司凭借多年信息通信技术人才培养经验,以及对行业发展的理解,以层次化的职业技术认证为指引,推出的覆盖IP、IT、CT以及ICT融合技术领域的认证体系,是ICT全技术领域认证体系。
信息
外文名
Huawei Certified Network Engineer
简    称
HCNA
中文名
华为认证网络工程师
公    司
华为
华为认证网络工程师概述
华为认证网络工程师,HuaWei Certified Network Engineer,英文简称HCNE。主要面向中小型企业的网络设计与实施人员。通过认证后,您将对数据通信网络有一个全面的了解,并且您将被证明已经掌握面向中小型企业的网络通用技术,并具备设计中小企业网络以及使用华为网络设备实施您的设计的能力。
收起全文
精华内容
下载资源
问答
  • HCNA

    千次阅读 2018-04-02 19:40:57
    HCNA-HCNP-笔记 2016-1 by 肖哥学员:毛瑞娜 尤颉 张苑蕾 马广智 张佳颖 高德安 种道宇 张连成 王志刚 陈明 赵刚讲师:肖哥 QQ:566992630 TEL:15265885756 公司地址:山东 日照 2016年3月技术交流QQ群...

    HCNA-HCNP-笔记 2016-1 by 肖哥

    学员:毛瑞娜   尤颉   张苑蕾  马广智  张佳颖  高德安  种道宇   张连成   王志刚   陈明   赵刚讲师:肖哥  QQ:566992630   TEL:15265885756 公司地址:山东 日照     2016年3月技术交流QQ群:191921987

    1  小米路由  192.168.31.1

       \\192.168.31.1  访问小米共享硬盘  访问windows共享的方式    映射网络驱动器

    2  学习工具

    ①    截图greenshort

    ②    有道云笔记

    ③    vnc

    3  vmware workstation:模拟虚拟机,搭建学习和测试环境。vmware 是全球虚拟化最好的公司。

    vmware 12.1  可以安装win10

    4  操作系统(OS operating system)

    格式:.iso (原版)   .GHO(第三方)

    winxp---->winvista---->win7---->win8(8.1)---->win10

    5  快照功能:可以恢复到以前的一个状态

        克隆功能:copy 一份 

    6  关闭客户机:相当于直接断开电源    关机:按一下电源按钮

    7  配置虚拟机使其上网

    ① 让vmnet 0 桥接到无线网卡(无线网卡可以上网)

    ② 将虚拟机的网卡选择自定义到vmnet 0

    8    win10 新功能及特性

    9    关闭update

    10  关闭用户账户控制

    11  关闭防火墙:win7 win8 需要关闭防火墙才可以ping通

    13  telent :远程控制工具

    14  硬件设备  查看驱动

    如果发现某硬件没有被驱动,可以尝试安装集成网卡驱动版的驱动精灵

    15  认识自己的计算机

    16  网卡

    ncpa.cpl

    17  windows 远程控制设置win 10 允许被远程控制(server 服务端) 192.168.31.206

    确定用户名aa 密码123

    IP:192.168.31.206

    客户端上控制:

    运行---mstsc----打开远程控制终端

    18  匿名共享:方便共享文件

    ① 开启guest 帐户 (开启来宾帐户)

    ② 关闭密码保护共享

    ③ 将相关文件夹共享给guest 帐户

    19WinPE:WindowsPreinstallation Environment  windows 系统预安装环境

    20电脑店PE工具

    ①    模式:刻录在U盘里面使用

    ②    模式 ISO模式:刻录到光盘里面,或者给虚拟机使用



    ③    本地模式:直接将PE安装到本地C盘,机器启动时直接读取C盘的PE文件启动。(无需修改BIOS 开机启动项)即增加了一个额外的开机启动菜单。

    21硬盘分区

    首先给虚拟机添加一块硬盘



    缩小、扩大分区

    分区表的找回

    22BIOS : BasicInput Output System 基本的输入输出系统,保存在主板固定芯片上的一段小程序。

    电源键----》读取BIOS----》查询硬盘起始分区引到(MBR、GPT)---------》然后读取系统分区启动系统

    BIOS:目前主要用来调节开机启动项,CPU 虚拟化功能,同步时间等等进入BIOS:开机按F2  Del键  回车  F1 等等 (不同型号的电脑不一样)给BIOS设置密码

    23硬盘引导:

    MBR引导:win7   早期  缺点:不支持2T以上硬盘  主分区 最多支持4个 

     操作系统必须安装在主分区,且该主分区是活动分区 GPT分区:(也称为GUID分区),支持2T以上硬盘 且主分区可以建立多个。win8、win10。

    无损GPT《-----》MBR 转换:PE 磁盘精灵注:GPT分区少于4个


    预装win8 、win10 换win7 经常遇到故障

    24操作系统的安装:电脑店:

    小马PE 安装:

    25激活windows

     小马激活等激活工具

    26驱动精灵安装驱动 下载驱动精灵集成网卡驱动版 安装驱动即可

    27备份系统

    PE:ghost 软件

    28恢复系统、还原系统

    29windows 引导失败 windows 无法启动

    ① 使用磁盘精灵重建MBR引导

    ② 修复windows引导③  使用其他的工具修复



    30


    windows 快捷键win + e 打开计算机 win + r 运行 tab 切换crtl + tab 切换标签运行ncpa.cpl  打开网卡配置 win + d 最小化所有窗口空格      选择单选框 alt + f4 关闭当前窗口 ctrl + c  复制copy

    ctrl + v  粘贴 viscidity        ctrl + x  剪切 剪刀 ctrl + s  保存 save alt + tab 切换窗口 shift + f10 右击

    31虚拟内存

    32休眠文件

    hiberfil.sys休眠文件 约=内存 的75%

    POWERCFG-H OFF  删除该文件

    POWERCFG-H on   恢复休眠功能

    POWERCFG -H -size 50  使该为为内存的百分之50 如遇到休眠时蓝屏则将其百分比再调大即可

    33      使用软碟通(ultraISO)安装系统(双系统)装系统大招



    34      vmware  网络配置

    35      影子系统 :每次开机,系统都恢复到原来的样子,适用于网吧、机房


    可以在正常模式设置密码,防止用户修改

    36      HFS:httpfile system :通过Http 实现文件共享 (局域网)

    37      注册表:类似一本书的目录,登记表,windows 安装的程序和功能多数可以在注册表里面找到打开注册表 regedit 

    0是彻底隐藏

    1是显示(默认值)

    项:文件夹

    关闭防火墙和所有的杀毒以及卫士、毒霸环回网卡安装

    cisco packetracert 6.0

    ENSP 华为 39   网络概述

    技术交流QQ群:191921987查询服务器所在的位置



    40

    IP:internet  protocol 标识一台网络设备唯一的ID 标识,类似公民的身份证号。全球唯一。

    例如:192.168.31.1

    41保存抓取的数据包

    42ping :测试两个网络设备的联通性,参考的协议标准 ICMP 。

    ICMP:internetcontrol message protocol  ping 指令封装数据包参考的协议

    43OSI 参考模型:open system interconnect  开放式系统互联,规定了数据传输的标准,以及数据包封装所参考的协议。旨在让不同的设备不同的用户可以互联互通。

    一层:物理层:规定了物理介质、网线、光纤、光纤、电压电流等标准二层:数据链路层:MAC地址 ,交换机三层:网络层:IP地址,路由器

    四层:传输层:端口号 例如:80端口

    五层

    六层    统称高层(传输的数据)七层

    44MAC地址:网卡物理地址 16进制 网卡出厂时烧录在芯片里面的一串全球唯一的地址(默认情况下不能更改)。

    45TCP\IP模型:tcp\ip模型是很多个网络协议的集合,其中以tcp和ip协议为主,这些协议的集合称为TCP\IP协议族(簇)。该模型是目前数据包封装主要参考的模型。

    五层模型:一层物理层二层 数据链路层:MAC

    三层 网络层:IP 四层 传输层:端口五层 应用层:用户数据DATA

    46数据包的结构

    47Ipv4地址:点分十进制  32bit 

    192. 168. 1. 100 

    48 ip地址:网络位 + 主机位

    192.168.1.2   255.255.255.0

    192.168.1         2     网络位       主机位

    网络位:子网掩码1 bit对应的位是网络位主机位:子网掩码0 比特对应的位

    注:主机位 全0 全1 的ip地址和掩码的组合是无效的。

    主机位全0 :子网地址(网络地址)主机位全1 :子网广播地址

    例如:192.168.1.127   255.255.255.128

    192.168.1.0     1111111 

                   .1      0000000 网络位                主机位

    主机位全1 ,无效

    例如:192.168.1.128  255.255.255.128

    192.168.1.1        0000000     网络位               主机位主机位全0  ,无效

    49  IP地址分类:

    A类:1-126      默认子网掩码255.0.0.0          /8

    B类:128-191                       255.255.0.0      /16 C类:192-223                       255.255.255.0   /24

    注:默认掩码也称为自然掩码

    D类:224-239 组播地址 E类:剩下  实验用例如:

    192.168.1.1   C类 172.16.1.1     B类

    8.8.8.8           A类

    50  特殊地址

    127.x.x.x  本地环回测试地址  仅用来测试本机  代表自己

    0.0.0.0      代表所有

    255.255.255.255    广播

    169.254.x.x  :windows系统给的地址(计算机没有通过dhcp 获取到地址)

    51  单播:一对一       组播 :一对一组用户,类似qq讨论组      广播  :一对所有,群发

    52  特殊二层 MAC

    全F ff-ff-ff-ff-ff-ff    广播        01-00-5e-xx-xx-xx   组播

    53  网段:具有相同网络位的ip和掩码的组合称为同一个网段(局域网、子网) 54

     一个网段包含多少ip?

    192.168.31.0  /24

     2^8=256-2=254个可用的主机IP地址

    8是主机位

    例如:192.168.2.192  /26  可用IP地址多少?

    2^6=64-2=62个

    例如:192.168.2.252  /30  可用ip多少?

    2^2-2=2个

    192.168.2.111111         xx

             网络位                主机位

    192.168.2.111111        00

    192.168.2.111111        01 可用  (253)

    192.168.2.111111        10 可用  (254)

    192.168.2.111111        11 192.168.2.253

    可用ip地址:

    192.168.2.254

    例如:192.168.2.248  /29  可用ip多少?

    6个

    192.168.2.249-254

    55  相同网段的PC互相通信时不需要网关       不同网段的PC互相通信需要网关做中转

    注:不同网段的PC互相通信需要路由器(三层设备)做中转,该路由器作为PC的网关。

    56    子网掩码:规定了该ip地址所在的网段。       网关:当PC访问不同网段的服务时,需要将数据交给网关处理。       DNS:域名解析服务,将域名(网址)转换成IP地址。

    57   私网地址:在任何地方都可以使用的ip地址      公网地址:全球唯一,需要花钱申请

    ip地址紧缺:2^32=42.9 亿

    NAT + 私网地址===》ip地址紧缺

    私有地址范围:

    A 10.0.0.0/8

    B  172.16.0.0-172.31.255.255C 192.168.0.0/16

    注:私网地址不能在公网上被传输(路由)。运营商如果发现收到的报文三层含有私有地址,则会将该报文直接丢弃。

    58 172.16.0.0/16  分成6个小子网?

    2^m>=6 m=3  因此需要三个bit 的子网位

         172.16.     00000000.0

    ①         172.16.     000    00000.0  172.16.0.0/19

    ②         172.16.     001    00000.0  172.16.32.0/19

    ③         172.16.     010    00000.0   172.16.64.0/19

    ④         172.16.     011    00000.0⑤   172.16.     10000000.0

    ⑥         172.16.     10100000.0

    ⑦         172.16.     11000000.0

    ⑧   172.16.    11100000.0

    59TTL:time tolive  生存周期 :防止环路  ,起始值经过路由器是递减

    60tracert   8.8.8.8 测试本地到达目标所经过的三层设备

    61ARP :(Address Resolution Protocol),通过目的IP地址,请求对方MAC地址的过程。

    arp目标mac是全F 广播 arp    -a 查看arp 的缓存表 arp    -d 删除 arp 缓存表 arp 请求包(request):去包

    arp 回应包(reply):回包

    62广播域:广播包可以发送的区域范围。路由器隔离广播域(广播包无法穿越路由器,路由器的每个接口都是一个独立的广播域)。交换机不隔离广播域。

    63当一个PC访问外网时(访问的目标和自己不在同一个网段),此时二层会封装网关的MAC地址。

    64TCP:可靠传输、面向连接      :准确性很高,速率稍慢          

         UDP:不可靠传输、非面向连接    : 准确性差,速率很快

    面向连接:如果某应用层协议的四层使用TCP端口,那么在正式的数据报文传输之前,需要先建立连接。只有建立完连接之后才可以传输数据。

    建立连接:三次握手

    ①    客户端--->服务器

     

    ②    服务器--->客户端

    三次握手:面向连接的高层协议在正式传输数据之前需要先建立连接,建立连接的过程需要来回交互三个报文,我们将建立连接的过程称为三次握手。

    netstat -an

    可靠传输:客户端收到报文之后,需要发送TCP 的ack 确认包,并告诉服务端接下来要收的报文的序号。同时该过程确定了两者传输的“windows窗口”大小。

    65常用协议的端口号:

    HTTP:tcp 80 网页浏览 telnet:tcp 23  远程控制 FTP   :tcp 20 21  文件传输

    RDP :tcp 3389 远程桌面 VNC  :tcp 5900

    66测试某端口是否打开telnetx.x.x.x  80

    打开telnet 指令

    671-1024 端口号:熟知端口  (固定,已经分配)

         1024 以后的端口称为随机端口

    68wireshark 过滤规则:ip.addr == 111.13.100.127  过滤出包含111.13.100.127 报文

    ip.src  == x.x.x.x  源地址 ip.dst  == x.x.x.x  目标

    tcp.port == 80

    tcp.dstport == 80 过滤出目标端口为80端口 tcp.srcport  == 80 

    eth.src == 00:21:cc:cf:1d:28

    eth.dst == 00:21:cc:cf:1d:28

    vnc  arp   http 过滤高层协议

    and 且  or  或  not  非   支持()例如:tcp or httpand (not vnc)

    69  思科 cisco      : CCNA  CCNP CCIE       华为 huawei :HCNA  HCNP HCIE

    70  华为命令行简介

    < >用户视图模式  权限稍低

    [  ]系统视图模式   权限高

    < >system-view 切换到系统视图

    [ ]sysname R1 命名

    [ ]quit 退出当前模式

    ? 提示信息命令支持简写

    tab 键 补全命令

    <>language-mode Chinese  提示语言改为中文 dis   current-configuration 显示当前所有配置

    more:回车键 翻一行,空格翻一页  其他任意键退出

    ctrl + z  直接回退到用户模式给接口配置IP地址:

    int e0/0/0  进入接口e0/0/0

      ip  address 192.168.1.1  24  给接口配置ip地址和子网掩码

     

    dis  this  显示当前配置 dis  ip  int brief 显示接口摘要

    dis ip routing-table  显示路由表

     

    71  路由表:路由器转发数据包的唯一依据,是路由器转发数据包的一张“地图”。

    72  <>save  保存配置

    73  [ ]undo info-center enable 关闭信息中心 ,防止弹出日志

    74  直连路由: direct route ,直接相连的路由,当路由器的接口配置好ip地址并up之后,会自动创建该路由。路由器默认情况下,只能到达直连的网段。

    静态路由配置:

    去包路由:PC1--->PC2(目标网段始终是:172.16.1.0/24)

    R1:

    ip     route-static     172.16.1.0  24        12.1.1.2                                  目标网段                 下一跳

    下一跳:(next-hop)   下一个传递者,下一个承接者

    R2:ip route-s  172.16.1.024     23.1.1.3

    回包路由:PC2--->PC1(目标网段始终是:192.168.1.0/24)

    PC3: ip route-s 192.168.1.0 24  23.1.1.2 PC2:

    ip route-s   192.168.1.0  24   12.1.1.1

    75undoxxx  撤销某条指令例如:

    int e0/0/1    undo ip  address  例如:

    undo sysname 

    76路由优先级:(preference,思科:管理距离)衡量路由的优先程度,到达同一个目标有两种路由协议,此时优选路由优先级较小的路由协议。

    路由优先级范围:0-255 常见路由协议默认的优先级:直连路由  0 静态路由 60

    Rip 100

    ospf 10

    数字越小 越优先

    77ping  x.x.x.x -t   一直ping   ctrl + c 终止

    78冗余:备份,可靠性较高

    79 

    int e0/0/0 

       shutdown  禁用接口

       

    int e0/0/0     undo shutdown 开启

    80如果出接口故障,那么与该接口相关的直连路由全部消失。       如果某路由的下一跳不可达则该路由也会消失。

    81到达某相同目标网段路由表中始终放置最优路由。

    82路由优先级:目标:想实现千兆Ge0/0/0 做为主链路,百兆E0/0/1 作为备份链路

    R1:

    ip route-s   210.1.1.0 24 12.1.1.2

    ip route-s   210.1.1.0 24 21.1.1.2  preference 50 配置静态路由并制定优先级为50 R2:

    ip routes-s 192.168.1.0 24 12.1.1.1ip route-s   192.168.1.0 24 21.1.1.1preference 50

    83负载均衡:数据(负载)被均分到两条链路上传输。

    84路由度量:(度量值,metric,cost,路由开销)到达某目标所花费的开销(代价)的总合,用来衡量路径的优劣。

    85缺省路由(默认路由):defaultroute

    ip route-s   0.0.0.0    0   12.1.1.2 访问任何网段都将数据包交给12.1.1.2 注:缺省路由属于特殊的静态路由!注:PC的网关其实就是一种缺省路由。

    特殊注意:缺省路由属于“替补路由”,只有当其他的路由不可达时才会使用缺省路由。

    注:缺省路由适用于边缘节点,以及企业出口。

    86环回接口(loopback):逻辑接口,模拟网段、PC、服务器、后期用于动态路由选举Router-IDint  loopback  0     ip   add  220.1.1.2   24

    87DHCP:动态主机配置协议DHCP(Dynamic Host Configuration Protocol)来分配IP地址等网络参数,可以减少管理员的工作量,避免用户手工配置网络参数时造成的地址冲突。上网参数:IP地址、子网掩码、网关、DNS

    dhcp enable  启用dhcp功能 ip pool qq   创建地址池qq    gateway-list192.168.1.1  分配网关

      network 192.168.1.0 mask 255.255.255.0 分配ip和掩码    dns-list 192.168.1.1 8.8.8.8  分配DNS

    int e0/0/0(和用户相连接口)

        dhcp select global  使用本地全局配置的地址池分配ip地址   cmd--->ipconfig  查看获取到的ip地址

    注1:dhcp 服务器使用不同的MAC地址来区分不同的PC 注2:用户发送的第一个dhcp 请求包 源是0.0.0.0 目标是255.255.255.255 的广播报文,该报文称为dhcp discover 。 ipconfig   /all 查看 ipconfig   /release 释放ip地址 ipconfig  /renew 重新获取

    更改网卡mac地址:

    dhcp 租期:24小时

    1.254 ---》A用户

     

    dis ip pool name qq used  显示dhcp 分配记录

    88RIP: 路由信息协议RIP(Routing Information Protocol)的简称,它是一种基于距离矢量(Distance-Vector)算法的协议,使用跳数作为度量来衡量到达目的网络的距离。RIP主要应用于规模较小的网络中。缺点:古老,收敛速度很慢!

    89路由器的每个接口都是一个独立的网段!!

    90rip 的配置

    R1: rip  1

     undo summary 关闭自动汇总  version 2 版本2 network 192.168.1.0  宣告直连主类网络

     network 12.0.0.0   宣告直连主类网络

    R2: rip 1

     undo summary version 2  network 12.0.0.0  network 23.0.0.0  network 172.16.0.0

    R3: rip 1

     undo summary version 2  network 23.0.0.0  network 10.0.0.0

    91  Rip 报文

    每隔30s 发送一次目标地址是:224.0.0.9 组播地址报文里面存放的是路由信息

    92  rip  只看距离远近,距离是以跳数(经过路由器的个数)来衡量。

    注:16跳不可达。

    93  抑制接口:(静默接口)

    rip   silent-interface  e0/0/0  将接口e0/0/0 配置为静默接口,rip的路由更新不再从该接口发送。

    注:rip 的优先级 100.

    94  OSPF:开放式最短路径优先(Open Shortest Path First)协议是IETF定义的一种基于链路状态的内部网关路由协议。ospf 的优先级:10. 95  ospf 的区域规划 area 0 :骨干区域  核心区域area 1、2 。。。:常规区域

    Area 0 是骨干区域,其他区域都必须与此区域相连。

    96 ospf配置

    R1:

    ospf 1  area  0

     network 192.168.1.0 0.0.0.255

     network 12.1.1.0 0.0.0.255

    R2:

    ospf 1

      area 0   net 12.1.1.0 0.0.0.255   net 23.1.1.0 0.0.0.255   net 172.16.1.0 0.0.0.255

    R3: ospf 1  area  0

     network 23.1.1.0 0.0.0.255  network 10.10.10.0 0.0.0.255

    97ospf 的报文:常见 5种

    hello:小巧,用来建立和维持邻居关系 DBD 、LSR、LSU、LSack 刚开始发送

    < >reset ospf process 重置ospf 进程

    98显示ospf 的邻居表:

    99ospf 静默接口

    100 Telnet:远程登录,远程控制一些路由器和交换机等网络设备。四层使用TCP 23号端口。101  telnet

    telnet 服务端配置: telnet server enable (华为默认开启) aaa

       local-user hcnp password cipher hcnp123 privilege level 3 配置用户名和密码   权限级别3级

       local-user hcnp service-type telnet  

    指定账号的服务类型是telnet

    user-interface  vty 0  4   同时允许5 个人远程控制      authentication-mode   aaa  认证的模式采用aaa

    telnet客户端:

    ① < >telnet   34.1.1.4

    ② 客户端为PC

    route print 显示PC的路由表

    给PC 增加一条路由

    route add  34.1.1.0  mask 255.255.255.0   192.168.1.1

    注:四层使用的 TCP 23号端口。

    缺点:密码是明文密码。

    102 FTP:file  translate protocol,  FTP是用来传送文件的协议。使用FTP实现远程文件传输的同时,还可以保证数据传输的可靠性和高效性。目前多数用其来传输安装操作系统。 

    103 路由器 硬件组成:

    内存  + cpu  +  flash(类似硬盘)  + 风扇  +   I/O接口 + 主板 104 查看路由器操作系统

    105 dir 查看flash

    106 华为操作系统:VRP:Versatile Routing Platform  ve 5.x

    107 对flash 的操作:copy    vrpcfg.zip  aa

    reset recycle-bin   清空回收站

    配置ftp:

    aaa

      local-user aa password cipher aa123 privilege level 3 ftp-directory  flash:    local-user aa service-type ftp

    客户端访问:

    get r4    复制文件

    PC 当客户端:

    108   升级操作系统

    109 VLAN(Virtual Local Area Network)即虚拟局域网。

    作用:在大型的企业内网,可以通过在交换机(二、三层交换机) 上部署vlan技术隔离广播域,缩小广播发送的范围,同时将安全威胁隔离到最小。以及方便管理员的管理。最终使得网络更加的健康和稳定。

    110 vlan配置vlan 10   创建vlan 10

    vlan 20

    vlan batch 20  30  40  同时创建三个vlan

    int gi 0/0/1

       port link-type access   将接口类型配置为access

       port default vlan 10  将接口划分到vlan 10 里面

    interface GigabitEthernet0/0/2 port link-type access  portdefault vlan 10

    注:vlan 1 属于默认vlan,默认情况下所有的接口都位于vlan 1里面 。

    注:vlan 隔离广播的同时,也会隔离arp,从而导致单播也无法通信。如果想让不同的vlan 单播可以通信,还需要三层设备(路由器、三层交换机)做路由。

    注:默认情况下,交换机的一个接口只能从属于一个vlan,只允许该vlan的数据通过。

    111 Trunk:干道 主干链路   通常用于交换机和交换机之间,通过一个接口传输多个vlan 的数据包。

    112 trunk 配置:

    access 口:接PC

    trunk 口:接交换机hybrid 口:混合口 既可以接PC也可以接交换机 (华为交换机的默认接口)

    trunk 配置: intgi 0/0/x    port link-ty trunk

      port trunk allow-pass vlan all

    PC--->交换机access口

    注:PC 不认识 vlan 标记,不认识tag ,只有通过交换机的trunk 接口发出的报文才具备vlan 的标记(802.1q tag)。注:PC 发出的报文没有tag。

    交换机trunk-------trunk交换机

    113 PVID:本征vlan (nativevlan ):该vlan的报文经过trunk接口时不打标记(tag)。默认情况下本征vlan 是vlan1.

    int gi0/0/4

      port trunk pvid vlan 20  将trunk 接口的pvid 改为vlan20

    114 将交换机的接口属性更改时:例如由access-->trunk  或者由trunk-->access   必须重置接口的默认配置

    [ ]clear configuration int gi 0/0/2

    115 vlan 间路由:方法① 多层交换机--SVI (常用):switchvirtual interface

    方法② 路由器--单臂路由注意:不同的vlan之间互相通信必须要有三层设备(路由器、多层交换机)做中转。

    116 vlan 间路由之 SVI

    svi配置:

    vlan batch 10   20

    将接口划入vlan 配置略

    int vlan  10

       ip address 192.168.10.1 24  给vlan 10 配置ip地址10.1 作为vlan 10 用户的网关 int  vlan 20

      ip add 192.168.20.1 24 

    调试:

    注意:vlan间路由:通过三层设备路由,使得不同vlan间可以互相通信。但是仅仅允许单播通信。不同vlan 之间广播帧依然被隔离既没有失去vlan原来的意义。

    117 vlan间路由之 单臂路由

    配置:

    ① 交换机上联配置trunkint gi 0/0/3    配置trunk

    ② 路由器启用子接口

    interface Ethernet0/0/0.10 dot1q termination vid 10  ipaddress 192.168.10.1 255.255.255.0  arpbroadcast enable interface Ethernet0/0/0.20 dot1q termination vid 20  ipaddress 192.168.20.1 255.255.255.0  arpbroadcast enable

      

    118 acl :access control list 访问控制列表

    acl 两种:基本acl(2000-2999):只能匹配源ip地址。高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。

    acl 举例:拒绝PC1访问172.16.10.x 网段

    R2:

    acl number 2000   建立基本acl (表号2000)   rule 5 deny source 192.168.10.1 0 拒绝源地址为192.168.10.1 的任何数据包。 5为自动生成的执行序号。 int gi 0/0/0

      traffic-filter inbound acl 2000  在接口的入方向调用acl

    acl 举例:拒绝PC1 和PC2 ping server 1,但是允许其http 访问。

    R2:

    acl number 3000   rule 5 deny icmp source 192.168.10.00.0.0.255 destination 172.16.10.2 0

    intgi 0/0/0

       traffic-filter inbound acl 3000 

    acl 举例:拒绝 PC2telnet 访问12.1.1.2 R2:

    acl number 3001       rule 5 deny tcp source 192.168.10.2 0destination 12.1.1.2 0   destination-port e q telnet int gi0/0/0

       traffic-filter inbound acl 3001

    注意:

    注1:一个接口的同一个方向,只能调用一个acl  注2:一个acl里面可以有多个rule 规则,从上往下依次执行  注3:数据包一旦被某rule匹配,就不再继续向下匹配注4:默认隐含放过所有(华为的acl 用来拒绝数据包时)。

    119 ACL 举例:

    acl 3005

    ①    拒绝源地址是1.1.1.0/24 目标地址是2.2.2.2 ftp 的报文

      

    ②    允许源地址是1.1.1.0/24 的任何报文

      

    ③    拒绝源地址是3.3.3.3 目标是7.7.7.7的任何ping 包

     

    ④    拒绝任何telnet 的报文

      

    ⑤    放过剩下的所有报文

    acl number 3005

     rule 5 deny tcp source 1.1.1.0 0.0.0.255destination 2.2.2.2 0 destination-port eq ftp-data

     rule 10 deny tcp source 1.1.1.0 0.0.0.255destination 2.2.2.2 0 destination-por t eq ftp

     rule 15 permit ip source1.1.1.0 0.0.0.255  rule 20 deny icmpsource 3.3.3.3 0 destination 7.7.7.7 0 rule 25 deny tcp destination-port eq telnet  rule 30 permit ip

    120 NAT:(Network Address Translation)网络地址转换技术,作用是将内网私有地址转换成公网地址,使得内网的主机可以上外网。

    私有地址:任何人都可以使用

    A 10.0.0.0/8

    B  172.16.0.0-172.31.255.255

    C  192.168.0.0/16

    基础配置:配置好ip地址出口缺省路由

    120 静态NAT :static NAT   :一对一(一 一映射),一个私网地址对应一个公网地址,外网的用户可以访问内网的主机。

    global:全局公网地址 local :内网私有地址

    inside :内网 内部 outside:外部

    int gi 0/0/1  (在外网口配置)       nat static global 12.1.1.2 inside192.168.31.2  将私网地址31.2 和12.1.1.2 做一 对一的映射。调试:查看nat 的转换过程

    dis nat session  protocol icmp

    缺点:有多少个私网地址就需要多少个公网地址。

    121 NAT 之 easy IP :允许多个私网地址转换成一个公网ip,很常用。出口:

    先写acl 匹配内网私网地址段 acl number 2000       rule 5permit source 192.168.31.0  0.0.0.255 注:acl 用来做匹配范围时,没有默认隐含允许所有的规则。 int gi 0/0/1 (公网接口)     nat outbound  2000  (2000是acl 的表号)原理:内网私网地址出包时转换成公网接口gi 0/0/1 当前的ip地址。122  NAT 之 serverNAT:可以将某服务器的某端口映射出去 (非常安全)

    int gi 0/0/1

        natserver protocol tcp global 12.1.1.4 www inside

    192.168.31.254 www

    仅仅将服务器的80端口映射出去

    123 广域网链路:二层封装 PPP 、HDLC、FR

    interface Serial4/0/0  link-protocol ppp  ip address 12.1.1.2 255.255.255.0

    PPP 可以对链路做认证

    124 PPP 的链路认证:

    ① PAP 认证     ② CHAP

     

    PAP 认证:(明文传输,两次握手)

    R2(服务端)

    aaa

       local-user hcnp passwordcipher  hcnp123    local-user hcnp service-type ppp int s4/0/0

       ppp authentication-mode pap

    此时:可以shutdown 接口 然后再undo shutdown 检测

    R1 (客户端)

    int s4/0/0

      ppp pap local-user hcnp password simple hcnp123 配置客户端发送的用户名和密码

    此时:可以shutdown 接口 然后再undo shutdown 检测

    CHAP 认证:三次握手,密文发送

    125 HDLC、FR

    注:华为、H3C 串行接口默认的封装方式是PPP

           cisco (思科) 串口默认封装的是HDLC int s4/0/0     link-protocl  hdlc

    126 FR : frame-relay  帧中继

    127 链路聚合/链路捆绑/端口聚合/eth-channel

    交换机:

    int eth-trunk  1  创建逻辑捆绑接口组1

    int gi 0/0/1    将接口加入接口组1    eth-trunk 1

    int gi 0/0/2   eth-trunk 1 int gi 0/0/3   eth-trunk 1

    128  VRRP:虚拟网关冗余协议 Virtual Router Redundancy Protocol.三层网关冗余技术。对用户的网关做冗余。

    基础配置:核心的ip地址接入层交换机无需配置

    用户网关 10.1

    vrrp 配置:

    核心1:

    int   gi 0/0/0 (下联用户的接口)    vrrp vrid 1 virtual-ip 192.168.10.1  创建虚拟组1,并指定虚拟ip地址,该虚拟地址作为用户网关。核心2:(主路由器)

    int gi0/0/0

       vrrp vrid 1 virtual-ip 192.168.10.1    vrrp  vrid 1 priority  105  将优先级改为105 作为主路由器,优先级默认是100。数字越大越优先。

    工作原理:核心路由器会每隔一段时间(约2s)发送一个特定的vrrp 报文。如果一段时间没有收到对方发来的vrrp 报文,就认为对方 master 设备出现故障。此时backup会自动切换为master。

    int gi 0/0/0

      vrrp vrid 1 track interface GigabitEthernet0/0/1 跟踪上联接口gi 0/0/1 的状态,当发现gi0/0/1口down时,自动将优先级减10,以让出master的位置。配置密码(可选配置)

    int gi 0/0/0     vrrp vrid 1 authentication-mode simpleplain 123 配置认证简单明文密码123

    129 stp:spanning tree protocol  生成树协议

    作用:防止交换环路  原理:通过运行stp 算法,阻塞特定的接口实现冗余无环的网络。

    130 stp 算法:大原则:先选出不被阻塞的接口,剩下的接口都会被阻塞。

    ① 整个网络(整个广播域)先选出根桥。先比较优先级再比较mac地址,越小越优先。根桥上面的端口都是指定端口。

    ② 非根桥上面选举根端口(根端口有且仅有一个)到达根桥最近的端口当选为根端口。

    ③ 每段链路选举一个指定端口。桥ID(优先级+mac)较小的交换机上面的端口当选为指定端口。

    ④ 剩下的端口全部被阻塞。

    131 修改交换机stp 的优先级:stp priority  0  

    注:优先级必须是4096的倍数

    132 交换机接口由down 到转发状态大概经过30s。down--->listening--->learning--->forwarding

    边缘端口:建议将接PC的接口配置为边缘端口(减少接口的收敛时间) int gi 0/0/3

       stp edged-port enable

    133 stp 根保护:建议到根桥的接口配置 int gi 0/0/2

      stp root-protection  一旦使能根保护功能的指定端口收到优先级更低BPDU时,端口状态将进入Discarding状态,不再转发报文。在经过一段时间

    (通常为两倍的Forward Delay),如果端口一直没有再收到优

    先级较高(数值低)的BPDU,端口会自动恢复到正常的

    Forwarding状态。

    注:该指令只能在指定端口配置才会生效。

    134 stp bpdu 防护:保护根桥全局

    stp bpdu-protection  

    作用:开启bpdu保护后,如果从边缘端口收到stp报文,交换机会自动将该接口shutdown 。从而确保根桥不被抢占,同时确保不会出现环路。

    error-down auto-recovery causebpdu-protection interval 30

     30s后自动up 自动恢复机制。

    135 RSTP:rapaid stp 快速的生成树协议。stp 的升级版  stp mode rstp 将stp 的模式切换为rstp

    136 IPV6:internet protocol version 6 目前正在使用:ipv4

    ipv4:32bit    2^32=42.9亿 个 ipv6:128bit  2^128 = 很大很大   冒号分16进制

    ipv6由8个字段组成,每个字段占16个bit

             2001:db8:0:0:0:0:346:8d58           2001:db8::346:8d58 特殊ipv6地址:   

    注① ::1  本地环回地址 类似ipv4    127.x.x.x

    注②  ::   相当于ipv4    0.0.0.0

    注③  FF开头 组播v6地址   例如:FF::5 类似224.0.0.5 ipv6 静态路由配置

    接口ip:

    ipv6   全局使能ipv6 功能 int gi 0/0/1     ipv6 enable     ipv6 address 2001::2  64

    R1:ipv6  route-static   2002:: 64      12::2 

    R2:

    ipv6    route-static   :: 0    12::1

    137  ipv6 地址分类:单播   组播  任意播  (取消广播概念)

    任意播:一到最近

    138  ipv6 无状态自动配置:PC 会通过发送特定类型的icmp 报文请求路由器接口的前缀,结合自己的mac地址自动生成全球独一无二的ipv6 地址。

    139  ipv6 中以FE80:: 开头的地址都属于本地链路地址(link-local),只在本地链路有效。启用了ipv6功能的接口都会自动生成相应linklocal地址。

    FE80::+EUI-64 地址

    EUI-64 地址:原mac地址中间嵌入FFFE,然后将第七个bit 取反。

    140  思科  锐捷 命令行简介

    > 用户模式

    # 特权模式

    (config)#全局模式

    >enable  由>进入# 模式 #configure   terminal 由#进入全局 exit 退出当前模式全局hostname  SW1  命名

    vlan 10 int vlan 10    ip add x.x.x.x 255.255.255.0

    #show  ip int  brief  显示接口摘要 #show  ip route 显示路由表 #show run 显示当前配置 #write 保存

    int Fa0/1  将接口fa0/1划入vlan 10 switchport access vlan 10 switchport mode access

    int Fa0/3  将接口配置为trunk  switchport trunkencapsulation dot1q  switchport modetrunk

    静态路由

    全局

    ip route 192.168.30.0 255.255.255.0  192.168.20.2

    同时对多个接口做配置

    int range fa0/1-fa0/24

    #erase startup-config  擦除配置

    141

    擦除华为配置

    <  > reset saved-configuration

    142  终止解析

    ctrl + shift + 6 143 思科acl 配置:

    标准:

    R2:

    全局 access-list  1 deny  192.168.10.2  0.0.0.0         access-list 1 permit any int fa0/0

        ip access-group 1 in 扩展:

    access-list 100  deny icmp  192.168.10.2   0.0.0.0  any int fa0/0

       ipaccess-group 100 in

    144      思科NAT

    int fa0/0  

     ip natinside 指明内网接口

    int fa1/0    

      ip natoutside 指明外网接口

    access-list 5 per   192.168.10.0 0.0.0.255 用acl匹配内网

    网段

    全局ip nat inside source list 5 interface fa1/0overload

    145      思科 telnet配置

    全局username aa privilege 15 password aa123首先配置用

    户名和密码 权限级别是15

    全局line vty 0 15

               login local  使用本地的用户名和密码对登录的用户做

    认证

    146      思科DHCP

    service dhcp enable   开启dhcp 功能

    全局ip dhcp pool hcna  建立dhcp 地址池

             network 192.168.10.0 255.255.255.0

             default-router 192.168.10.1          dns-server 192.168.10.1

    147      两层架构的总合实验实验要求:

    ②  企业内网划(①  用户的网关配置在核心交换机)分多个vlan,减少广播域大小,提高网络稳定性

    接入层交换机配置vlan ,并将用户划入相应的vlan 配置好trunk链路核心上面配置vlan 和SVI虚拟接口

    ③  所有设备,在任何位置都可以telnet远程管理

    aaa

      local-user hcnp password simple hcnp123    local-user hcnp privilege level 3    local-user hcnp service-type telnetuser-interface vty 0 4 authentication-mode aaa 配置管理vlan 999 管理地址段:192.168.255.x sw1:

    interface Vlanif 999  管理vlan  ip address 192.168.255.1 255.255.255.0

    sw2: vlan 999 int vlan 999 管理vlan

      ip add 192.168.255.2   24  配置管理ip地址

    ip  route-static 0.0.0.0 0192.168.255.1   给管理流量回包的缺省路由 sw3: vlan 999 int vlan 999  ip add 192.168.255.3   24 ip  route-static 0.0.0.0 0 192.168.255.1

    ④  出口配置NAT

    vlan 800 

    配置SVI 254.1 和 R1对联

    路由器R1、R2 接口都配置好ip地址

    NAT配置:

    acl number 2000 

     rule  5   permit   source  192.168.0.0    0.0.255.255

    int gi 0/0/1 (出口)   nat outbound 2000   核心sw1:

    ip route-s0.0.0.0  0 192.168.254.2 出口R1:

    ip route-s 0.0.0.0 0 12.1.1.6 出包

    ip route-s 192.168.0.0 255.255.0.0192.168.254.1 

    将回包交给核心sw1

    ⑤  stp 运行RSTP模式,确保核心交换机为根桥。并将接入用户的接口配置为边缘端口加快收敛。stp mode rstp stp priority 0 port-g g e0/0/2 to e0/0/3     stp edge-port enable

    ⑥  配置根桥保护措施,确保根桥不被抢占

    接入交换机:sw2、sw3stp bpdu-protection

    ⑦  所有用户均为自动获取ip地址

    核心:sw1

    int vlan 30    dhcp select global

    ⑧  在企业出口将内网服务器的80端口映射出去,允许外网用户访问

    R1:

    int gi0/0/1     nat server protocol tcp global 12.1.1.4 wwwinside 192.168.200.10 www

    ⑨  企业财务服务器,只允许财务部(vlan 30)的员工访问。sw1:

    acl number 3000

     rule 5 permit ip source 192.168.30.0 0.0.0.255destination 192.168.200.20 0  rule 10deny ip destination 192.168.200.20 0

    int gi 0/0/2

      traffic-filter outbound acl 3000

    148 三层架构 园区网配置

    ① 用户的网关配置在核心交换机

    ② 企业内网划分多个vlan ,减少广播域大小,提高网络稳定性sw4 sw5 sw3 划分vlan 配置trunk sw4:

    vlan 10 int e0/0/2    port link-type access    port default vlan 10 int gi0/0/1    port link-type trunk

      port trunk allow-pass vlan 10 999

      

    汇聚sw2:

    vlan batch 10 20 999 port-g g gi 0/0/1 to gi 0/0/2  e0/0/1    port link-type trunk     porttrunk allow-pass vlan 10 20 999

    核心sw1:

    vlan batch 10 20 200 999 interfaceGigabitEthernet0/0/1  port link-typetrunk

     port trunk allow-pass vlan 10 20 999

    #

    interface GigabitEthernet0/0/2 port link-type trunk  port trunkallow-pass vlan 200 999

    interface Vlanif10  ip address 192.168.10.1 255.255.255.0

    interface Vlanif20  ip address 192.168.20.1 255.255.255.0

    #

    interface Vlanif200  ip address 192.168.200.1 255.255.255.0

    ③ 所有设备,在任何位置都可以被telnet远程管理所有设备:

    vlan 999 interface Vlanif999  ipaddress 192.168.255.5 255.255.255.0

    aaa

     local-user hcnp password cipher hcnp123 privilege level 3   local-user hcnp service-type telnet

    user-interface vty 0 4  authentication-mode aaa 注意:接入 、汇聚 sw2 sw3 sw4 sw5 ip route-s 0.0.0.0 0 192.168.255.1 配置缺省路由给管理流量回包

    R1:开启telnet

    ④ 出口配置NAT先配置三层接口配置缺省路由允许内网用户访问外网: sw1:

    ip route-s 0.0.0.0 0 192.168.254.2

    R1:

    ip route-s 0.0.0.0 0 12.1.1.6

    ⑤ 所有用户均为自动获取ip地址

    ip pool vlan_10  gateway-list 192.168.10.1  network 192.168.10.0 mask 255.255.255.0

     dns-list 8.8.8.8

    #

    ip pool vlan_20  gateway-list 192.168.20.1  network 192.168.20.0 mask 255.255.255.0  dns-list 8.8.8.8

    interface Vlanif10  ip address 192.168.10.1 255.255.255.0  dhcp select global

    #

    interface Vlanif20  ip address 192.168.20.1 255.255.255.0  dhcp select global

    #

    ⑥ 企业总部和分支采用PPP 广域网链路连接。并采用CHAP对链路做认证。接口使用s4/0/0

    ⑦ 企业总部和分支采用ospf 路由协议连接。

    sw1:

    HCNP (部分)

    149 dhcp  request :由用户发向服务器的广播报文,目的是用来通知其他服务器是否使用服务器分配的ip地址。同时该报文还有续租的作用。

    150 dhcp 租期:目的是合理有效的使用ip地址

      分配给客户端的ip地址都是有租期的,当到达租期一半的时候,客户端会自动触发续租消息(dhcprequest报文)。

    151 dhcp 高级报文:

    152 dhcp 配置:

    ① 全局建立地址池 ip pool aa  gateway-list 192.168.1.1  network 192.168.1.0 mask 255.255.255.0  dns-list 8.8.8.8

    int gi 0/0/1    dhcp select global

    修改租期:(可选)

    ip pool aa    lease day 0 hour 20

    绑定固定mac对应IP(可选)

    ip pool aa    static-bind ip-address 192.168.1.200mac-address 5489-987a-575e 排除地址段(可选)

    ip pool aa     excluded-ip-address 192.168.1.250192.168.1.254 调试指令:

    dis ip pool name aa used  显示已经分配的ip地址的使用情况

    <>reset  ip pool name aa used   重置分配记录

    ② 基于接口的dhcp(简单、便捷)int   Gi 0/0/0 ip address 192.168.1.1 255.255.255.0 dhcp select interface  dhcp serverdns-list 8.8.8.8

    ③ dhcp relay (dhcp 中继)

    交换机配置好vlan 和trunk sw1: vlan batch 10 20 800 int vlan 800    ip add 192.168.254.1 24

    int gi 0/0/1    port link-ty acc    port default vlan 800

    R1-DHCP: ip pool aa  gateway-list 192.168.10.1  network 192.168.10.0 mask 255.255.255.0

     dns-list 8.8.8.8

    #

    ip pool bb  gateway-list 192.168.20.1  network 192.168.20.0 mask 255.255.255.0  dns-list 8.8.8.8

    interface GigabitEthernet0/0/0  ip address 192.168.254.2 255.255.255.0  dhcp select global

    核心sw1:

    interface Vlanif10  ip address192.168.10.1 255.255.255.0  dhcp selectrelay  dhcp relay server-ip 192.168.254.2

    interface Vlanif20  ip address 192.168.20.1 255.255.255.0  dhcp select relay  dhcp relay server-ip 192.168.254.2

    153 dhcp snooping

    R1:

    dhcp enable

    interface GigabitEthernet0/0/0 ip address 192.168.1.1 255.255.255.0 dhcp select interface  dhcp serverdns-list 8.8.8.8

    R2: dhcp enable

    interface GigabitEthernet0/0/0  ip address 192.168.31.1 255.255.255.0  dhcp select interface

     dhcp server dns-list 9.9.9.9

    #

    接入层交换机: dhcp enable dhcp snoopingenable dhcp snooping  enable vlan 1

    interface GigabitEthernet0/0/1 将接口gi0/0/1 设置为信任接口  dhcp snooping trusted

    dhcp snooping 工作原理:一旦针对某vlan 开启了dhcp snooping ,那么该vlan的所有接口默认都是非信任接口。非信任接口收到 dhcp 的offer 报文会直接丢弃。

    154 BFD: BFD:Bidirectional Forwarding Detection,双向转发检查

    作用:毫秒级故障检查,通常结合三层协议(如静态路由、vrrp、ospf、BGP等)实现链路故障快速检查。

    R1:

    R1:

    bfd 全局使能BFD

    bfd 1 bind peer-ip 12.1.1.2source-ip 12.1.1.1  配置BFD组1 discriminator local 1    本地标识1   标识需要互为对称discriminator remote 2 远端标识2  commit 确认提交

    R2:

    bfd 1 bind peer-ip 12.1.1.1 source-ip12.1.1.2  discriminator local 2  discriminator remote 1  commit

    #

    R1:

    ip route-static 2.2.2.0 255.255.255.012.1.1.2 track bfd-session 1

    R2:

    ip route-s 1.1.1.0 24 12.1.1.1 trackbfd-session 1

    155  ospf 调用bfd 加快收敛

    两台路由器配置ospf  然后启用bfd ospf 1    bfd all-interface enable

    156  端口安全

    sw:

    int gi0/0/1

      port-security enable  开启端口安全,该接口就只允许一个mac地址通信

      port-security mac-address sticky  开启mac地址自动粘贴,第一个用户的mac地址会自动被粘贴到该接口    port-securityprotect-action shutdown  将动作改为shutdown (可选)

    157  端口镜像:

    作用:① 用来方便管理员维护查看网络流量                      ② 用来配合IDS、堡垒机等安全设备使用

    将gi 0/0/2 口配置为观察接口 

    observe-port 1 interfaceGigabitEthernet 0/0/2 注:1 为观察组

    int gi 0/0/1

     port-mirroring to observe-port 1 both 

    将从gi 0/0/1口进去和出来的流量复制一份发给观察组1

    158  高级vlan 的配置之 基于mac地址的vlan

    vlan batch 10 20 vlan 10

       mac-vlan mac-address 0000-0000-0001

    vlan20

        mac-vlanmac-address 0000-0000-0002

    interfaceGigabitEthernet0/0/1  port hybriduntagged vlan 10 20   配置混合接口  mac-vlan enable  启用基于mac地址学习vlan

    159  vlan 高级配置之 基于IP子网划分vlan sw2 创建vlan  并将相应接口划入相应vlan 和sw1 相连的接口配置trunk

    sw1:

    int gi 0/0/2    port link-ty trunk    port trunk allow-pass vlan 10 20

    interface GigabitEthernet0/0/1 (特殊处理)    port hybrid untagged vlan10 20    ip-subnet-vlan enable

    vlan batch  10 20 vlan 10

     ip-subnet-vlan 1 ip 192.168.10.0 255.255.255.0vlan 20

      ip-subnet-vlan 1 ip 192.168.10.0 255.255.255.0

    160 超级vlan

    vlan batch 10 20 30

    将相关接口划入相应vlan (略)

    vlan 30  aggregate-vlan  将vlan30 定义为聚合vlan  access-vlan 10 20  将vlan 10 20 定义为vlan30 的子vlan

    int vlan 30   ip add 192.168.1.1 24  该地址将作为vlan 10 和vlan 20 的网关

    161 相同vlan  隔离端口

    int gi 0/0/4

      port-isolate   enable  将4口设置为隔离端口,并加入隔离组1 (默认都会加入隔离组1) intgi 0/0/1

     port-isolate   enable

    注:同一台交换机相同隔离组的端口不能互访

    162 vlan的映射:vlan mapping (vlan 的翻译)

    sw3 sw4  配置vlan 和trunk,交换机和交换机之间级联的接口配置trunk sw1:

    vlan 100 int gi 0/0/1    port link-ty trunk

       port trunk allow-pass vlan 100 sw2 :

    interface GigabitEthernet0/0/1  port link-type trunk

     port trunk allow-pass vlan 30 to 31

    interface GigabitEthernet0/0/3  port link-type trunk  port trunk allow-pass vlan 32

    int gi 0/0/2     port link-type trunk    port trunk allow-pass vlan 100

      qinq vlan-translation enable  启用vlan 标签的转换

       port vlan-mapping vlan 30 to 39 map-vlan 100将vlan的标签30-39 转换成100 注:trunk 封装:802.1q协议    

    163  hybrid 混合接口:hybrid 接口是一种混合接口,是华为设备特有的接口。华为交换设备默认的接口封装类型。hybrid 接口同时具备access 和trunk 的两种功能。

    将hybrid 口当成access口来使用: sw1: int gi 0/0/1    port hybrid pvid vlan 10    port hybrid untagged vlan 10 

    interface GigabitEthernet0/0/2 port hybrid pvid vlan 20  porthybrid untagged vlan 20

    将hybrid 口当成trunk 来使用:

    interfaceGigabitEthernet0/0/3       port hybridtagged vlan 10 20 sw2:略 164  使用hybrid 接口实现特殊通信:

    房间之间不能通信,但是每个房间都可以与出口路由器通信

    sw1:

    165 SSH:Secure Shell

    ssh :安全的远程控制协议  端口 tcp 22号端口

    特点:传输的数据时加密的,Linux 服务器也很常使用

    aaa

      local-user aa password cipher aa123 privilege level 3    local-user aa service-type ssh

    user-interface vty 0 4  authentication-mode aaa  protocol inbound ssh stelnet serverenable  开启stelnet(SSH)的功能

    使用路由器当ssh客户端:

    166 MSTP:

    Mulitistp  多生成树协议 (华为交换机默认运行mstp)工作原理:将多个vlan 捆绑在一起,运行在一个stp 实例里面,不同实例间的stp 互相独立。 注:默认情况下所有vlan 都在实例 0 里面。交换机需要提前创建vlan 和trunk mstp配置:

    instance  1  :vlan 10instance  2  :vlan 20 所有的交换机:

    stp region-configuration region-name hcnp  instance 1 vlan10  instance 2 vlan 20  active region-configuration

    sw2: stp instance  2 priority 4096   针对实例2 将sw2的stp 优先级调为4096

    注:配置sw1 成为instance2 的根桥:

    sw1 stp  instance 2 root  primary (sw1会自动降低优先级成为实例2 的根桥)sw2: stp instance  2  root  secondary  sw2将会自动降低优先级成为实例2 的备份根桥

    167   VRRP + MSTP 实现二层 和三层的冗余:核心sw1:(作为vlan 10  用户的主路由器)

    interface Vlanif10  ip address 192.168.10.254 255.255.255.0  vrrp vrid 1 virtual-ip 192.168.10.1

     vrrp vrid 1 priority 105

    核心sw2:

    interface Vlanif10  ip address192.168.10.253 255.255.255.0  vrrp vrid 1virtual-ip 192.168.10.1 核心sw1:

    interface Vlanif20

     ip address 192.168.20.254 255.255.255.0  vrrp vrid 2 virtual-ip 192.168.20.1

    核心sw2:(SW2将成为vlan 20的主路由器)

    interface Vlanif20

     ip address 192.168.20.253 255.255.255.0  vrrp vrid 2 virtual-ip 192.168.20.1  vrrp vrid 2 priority 105

    如果由于核心交换机的下联接口出问题,vrrp 切换到另一台核心,需要配置跟踪接口 sw1:

    int vlan 10    vrrp vrid 1 trackinterface GigabitEthernet0/0/1 sw2:

    stp instance 1  root primary 

    sw2:

    stp  instance 1 root secondary instance 2 根桥设置:

    sw1:

    stp  instance 2 root secondary stp instance 2 root primary 

    sw2:

    168 ospf :open shortest path first 开放式最短路径优先

    area 0 :骨干区域  (核心区域) area 1  2  。。常规区域注:常规区域必须和骨干区域直接相连

    ABR:area borderrouter 区域边界路由器

    ASBR:auto-systemborder rouer 自制系统边界路由器

    169 router id:标识运行ospf 的路由器的身份 ID,身份ID 不能重复。

    选举规则:手动指定最优先,如果没有指定则选举环回口,没有环回口则选举物理接口(接口地址越大越优先)华为设备:手动指定最优先,最先up的接口最优先。

    注:router id 是在ospf刚启动的时候选举。

    重置ospf 进程 可以从新选举:

    手动指定:

    全局 router id 2.2.2.2  给动态路由协议指定router id

    170 ospf 建立邻居的条件:

    ①  两台路由器router id 不能一致

    ②  两台路由器中间直连的网段必须宣告到相同的area 区域

    ③  认证的类型、密码必须一致

    ④  直连必须可以通信

    ⑤  ospf 邻居之间的特殊区域标识必须一致

    172 ospf 的路由优先级:preference  :10 (默认)

    173 三张表:

    邻居表 拓扑表  路由表邻居表:

    拓扑表:

    174 ospf 排错

    175 动态路由:

    距离矢量类路由协议:distance-vector :Rip  BGP 链路状态类路由协议:link-state   :ospf   ISIS

    176 ospf 的邻居建立过程:

    down----->init----->two-way----->ex-start---->-ex-change---->loading---->full

    init:初始化状态,开始交互hello 报文 two-way:路由器双方都得到对方的router-id exstart:准备交互DBD描述报文,同时选举DR和BDR exchange:交互DBD描述报文 loading:加载状态,请求对方的完整的明细路由 full:完全邻接状态,双方数据库同步注:查看ospf形成邻居的几个状态 information-center enable<>debugging   ospf   event

    <>terminal  debugging <>reset ospf  process

    177 DR:designate router  指定路由器 (班长)

           BDR:backup DR 备份指定路由器 (副班长)

    作用和目的:为了减少 MA(多路访问multi-access)环境下,不必要的ospf 报文的发送,减少链路带宽的占用,路由器会自动选举DR 和BDR。DRother路由器只会将ospf 路由信息传递给DR。 DRBDR选举规则:接口优先级 +  router id,越大越优先。

    注:DR、BDR 的不抢占规则:DR和BDR一旦选举成功,则不会再次选举。(除非重启)注:优先级为0 表示直接不参与DR和BDR 的选举。

    178 配置:

    int gi 0/0/0

       ospf dr-priority 5  将接口ospf 优先级由1改为5

    179 ospf 常见的五种报文:

    180 ospf 虚链路 :解决常规区域没有和骨干区域直接相连

    R1: ospf  1

       area  1 (一定在area 1 )

           vlink-peer  2.2.2.2 (2.2.2.2 必须是对方路由器的router id)

    R2:

    ospf 1

       area 1          vlink-peer 1.1.1.1

    注:虚链路是区域0 的延伸,它默认属于区域0 。

    181 ospf 的认证:

    注:认证是基于接口的

    int gi 0/0/0

     ospf authentication-mode simple cipher 123

    182 清空ospf error 统计<>reset ospf counters

    183 ospf 的静默接口

    ospf 1     silent-interface gi0/0/1  将gi0/0/1口设置为静默接口,静默接口不会发送任何的ospf 报文。注:建议将接PC的口设置为静默接口。

    184 ospf 修改优先级

    ospf 1

      preference 20  将优先级修改为20

    185 ospf 的路由引入(import):思科称为路由重分布(重分发)

    R5: rip 1

     undo summary version 2  network 8.0.0.0  network 57.0.0.0

    R7: rip 1

     undo summary version 2  network 7.0.0.0  network 57.0.0.0 注:不同的路由协议之间默认不能直接传递路由,若想传递还需import 引入。

    R5:

    ospf 1    import rip  将rip 引入ospf

    引入的路由:o_ASE :ospf -autosystem external,ospf自制系统外部路由

    ,路由优先级默认是150

    R5:

    rip 1

       import  ospf   将ospf 引入rip

    双向引入完成

     

    向ospf 区域引入缺省路由: R3:

    ip route-s  0.0.0.0  0   38.1.1.8 ospf   1

        default-route-advertise  always  

     将缺省路由引入ospf 注:always 无论R3是否有缺省路由存在,R3总会向ospf区域下发缺省路由。

    186 ospf 路由汇总

    作用:精简路由表的大小,减少路由器计算资源的开销

    1.1.1.0/24

    1.1.2.0/24

    1.1.3.0/24

    1.1.000000 01.0

    1.1.000000 10.0

    1.    1.000000  11.0

    1.1.0.0/22

    1.1.0.0 255.255.252.0

    ① 区域间的汇总(必须在ABR上汇总) R2:ABR

    ospf 1  

     area 1(明细路由所在区域)      

             abr-summary 1.1.0.0 22

    ② 自治系统间的汇总(必须在ASBR上汇总) R5:ASBR

     ospf  1   

        asbr-summary 7.7.0.0  255.255.240.0 

    7.7.7.0

    7.7.8.0

    7.7.9.0

    7.7.0000 0111.0

    7.7.0000 1000.0

    7.    7.0000  1001.0

    7.7.0.0/20 

    7.7.0.0 255.255.240.0

    187 ospf LSA 类型:



    188 ospf 特殊区域

    ① stub  ②  totally stub   ③ NSSA     ④  totally NSSA

    ①       stub 末节区域:不接收五型的lsa  R1  R2:(R1 和R2 都要配置) ospf 1     area 1          stub

    作用:拒绝5型LSA,减少路由表的大小,减轻末节路由器的负担。注:特殊区域的路由器会自动形成缺省路由指向ABR来访问其他自制系统。

    ②       totally  stub  完全末节区域:拒绝 3 4 5 型LSA

     R1  R2:(R1 和R2 都要配置)

    ospf1     area 1

             stub no-summary

    ③ NSSA :not so  stub  area :拒绝5型的LSA ,但是会放行后面的其他自制系统的路由即“小尾巴”。“小尾巴”的路由会通过7型的LSA透传stub 区域。

    R1 R2: ospf 1

      area 1

          nssa  将区域1配置为nssa区域

    ④ totally nssa :拒绝3 4 5 型 LSA

    R1 R2: ospf  1    area 1          nssa no-summary

    189 ospf 的路由过滤

    ospf 1   filter-policy 2000 import (使用acl 2000 对路由进行过滤)

    acl number 2000   rule 5 deny source 1.1.2.1 0  rule 10 deny source 1.1.3.1 0  rule 15 permit 拒绝1.1.2.1/32和 1.1.3.1/32 两条路由,放过剩下的路由。

    190 对ospf 引入(import)的路由进行过滤ospf 1 

      import-route rip 1 route-policy qq 引入rip路由同时调用路由策略qq

    route-policy qq permit node 10 配置路由策略qq 执行序号为10 if-match acl 2001  匹配acl 2001

    acl 2001

       rule  permit source 7.7.8.00.0.0.255     rule  permit source 7.7.9.0 0.0.0.255

    191 ISIS:Intermediate System to Intermediate System的简称  中间系统到中间系统 ,类似ospf 的一种动态路由协议。中间系统:路由器注:主要用于运营商的内部网络

    特点:

    ① IS 指路由器

    ② isis 属于大型内部网关路由协议类似ospf,多用于运营商,企业网很少使用。

    ③ 使用SPF算法,链路状态类路由协议。

    ④ ISIS 封装数据包是基于OSI 模型,ospf、rip、以及常见的以太网数据包封装都是基于TCP/IP模型。

    ⑤ ISIS 划分区域是基于路由器的。即一个路由器只能属于一个区域。

    ⑥ ISIS 也是两层架构(骨干区域、常规区域)

    192 isis路由器的种类:

    ①    Level 1路由器:仅收发L1 isis报文

    ②    Level 2路由器:仅收发L2 isis报文

    ③    Level 1 2路由器:可以收发L1 和L2的isis报文骨干区域:连续的一片Level   2 路由器(包含L1 2)的集合

    配置:

    isis基本配置:

    R1:

    isis  

       network-entity 49.0002.0000.0000.1111.00   配置网络实体标识,类似ospf中的router-id,标识该中间系统(路由器)的身份信息。 其中49.0002 表示路由器所在的区域。

    0000.0000.1111 表示系统ID即router-id .00 固定格式

    到接口下宣告直连网段

    R1:

    int gi 0/0/0

      isis enable 1 宣告该直连网段 int loo 0    isis enable 1

    注1:默认情况下所有运行isis的路由器都是Level 1 2路由器。

    注2: L12 路由器类似ospf中的ABR          L2  类似ospf中骨干区域路由器

             L1   类似ospf中的常规区域路由器

    193 修改路由器的level 类型

    R1:

    isis 1

     is-level level-1  将R1修改为纯level 1路由器

    注:默认情况下,骨干区域的路由不会发送到L1路由器(常规区域),且L1路由器会自动形成指向L12路由器的缺省路由。(这种特性类

    似ospf中的totallystub)

    194 修改isis 接口发送level 报文的类型:

    R2:

    int gi 0/0/0     isis circuit-level level-1 指定R2 的接口只发送level 1 的isis报文。

    195 向isis区域引入其他自制系统的路由注意:默认情况下,向isis引入的路由是Level 2 的路由。 isis  

     import-route rip 1 level-1  接level 1 指的是以level 1 的形式引入

    196 BGP:边界网关路由协议:boder gateway protocol

    特点: ① 属于外部网关路由协议

             ②  针对大型网络、大型跨国集团、运营商、国与国之间的路由

    197 路由协议分类:

    内部网关路由协议IGP:rip   ospf   isis  (eigrp)外部网关路由协议EGP:EGP(早期淘汰) BGP

    198 BGP  邻居关系:

    IBGP :相同的AS路由器邻居 EBGP:不同AS的路由器邻居

    注:EBGP 建邻居用直连接口

          IBGP 建邻居用环回接口

    EBGP:

    R1: router id 1.1.1.1 bgp 100 

      peer 12.1.1.2 as-nu  200  指定邻居12.1.1.2 所在的AS

    R2:

    router id 2.2.2.2 bgp 200

       peer 12.1.1.1 as-nu 100 调试:dis bgp peer  199  IBGP 邻居建立:

    在AS 内部需先运行IGP,然后才可以使用环回接口建立BGP

    R2: bgp 200  peer 3.3.3.3as-number 200  peer 3.3.3.3connect-interface LoopBack0

    R3:

    router id 3.3.3.3 bgp 200 peer 2.2.2.2 as-number 200  peer2.2.2.2 connect-interface LoopBack0  peer4.4.4.4 as-number 200  peer 4.4.4.4connect-interface LoopBack0

    R4:

    router id 4.4.4.4 bgp 200

     peer 3.3.3.3 as-number200  peer 3.3.3.3 connect-interface LoopBack0  peer 45.1.1.5 as-number 300

    R5:

    router id 5.5.5.5 bgp 300

     peer 45.1.1.4 as-number 200

    200 bgp  路由传递:R1:

    bgp 100

       network 1.1.1.0   24

    查看bgp的转发表“高速公路”

    注:<>reset bgp all 重启bgp 进程

    201 BGPnext-hop 属性:BGP 是以AS为个体,路由传递给其EBGP对等体时,下一跳会不变的引入AS的内部。可能会引起下一跳不可达问题:

    解决:

    R2:

    bgp  200

       peer3.3.3.3  next-hop-local  路由传递给邻居3.3.3.3时将路由的下一跳改为自己(2.2.2.2)

    202 IBGP 水平分割属性:为了防止IBGP环路,默认情况下从IBGP对等体收到的路由不会传给其IBGP邻居。

    解决水平分割:配置路由反射器

    R3:

    bgp200

        peer 4.4.4.4  reflect-client  将R4配置为自己的路由反射客户端

    注:从客户端(路由反射客户端)学到的路由可以无条件传递给任何对等体。

    203 全网互通、路由引入

    R1 R2:

    bgp 100

      net 12.1.1.0 24

    R5 R4: bgp 300

     net 45.1.1.0 24

    R2:

    bgp 200      import-route ospf  1 将ospf 的路由引入bgp

    204 BGP 的路由汇总

    R1:

    bgp 100

     aggregate 1.1.0.0 22   

    注:默认情况下,bgp的明细路由和汇总路由都会发送

         a(bgp 100)ggregate 1.1.0.0 22   detail-suppressed  抑制明细路由

    205 BGP AS-path 属性

    作用:如果一个路由器收到一条路由,路由的AS-path 包含自己所在的AS,则路由器会认为发生了环路将该路由丢弃。

    EBGP 防环:As-path 属性

    IBGP 防环:ibgp 水平分割

    206 路由聚合的AS-set 参数

    R4:

    bgp 200

       aggregate 1.1.0.0 22 detail-suppressed as-set

    as-set 参数可以使得聚合后的路由含有原来的as-path 属性 207  一台路由器上面只能运行一个bgp 的进程。

    208 MPLS:Multi-Protocol Label Switching,多协议标签交换    运营商在使用(企业网没有使用)

    ① mpls-vpn

    ② 在各种运营商的设备上面例如:LTE、ONU

    注意:MPLS是二层半协议,介于mac和ip之间注意:mpls 只是一种数据层面的转发方式,mpls 本身无法形成路由,无法控制数据的走向。即mpsl 是依赖于底层的路由协议。

    209

    mpls 配置:

    全局 mpls lsr-id 1.1.1.1  指定mpls路由器的router-id

    mpls   启用mpls标签转发 mpls ldp  启用mpls ldp分发协议

    int gi0/0/0  mpls   mpls ldp

    210 LDP:标签分发协议

    211 mpls 工作原理

    注①:标签小于1024都有特殊意义,给普通路由分发的标签大于等于1024

    注②:标签转发仅仅是工作于数据层面的转发机制,不能控制转发路径,控制层面依靠路由表。

    注③ :标签本地有效。

    212 vpn:virtual private network 虚拟专用网络应用类型两种:

    ①    总部和分支之间对联

    ②    远程出差人员,通过vpn拨号的方式访问企业内网

    213 GRE vpn 配置:

    R5 R6:

    需要配置缺省路由指向运营商

    运营商的路由器全部配置ospf 使得R5的公网地址ping 通 R6 的公网

    R5:

    interface Tunnel0/0/0  description TO_shanghai  tunnel-protocol gre  source 15.1.1.1

     destination 46.1.1.1   ip add 192.168.254.1  24  给隧道配置ip地址 R6:

    interface Tunnel0/0/0 description TO_beijing tunnel-protocol gre  source46.1.1.1  destination 15.1.1.1  ip add 192.168.254.2 24

    R5:

    ip route-s 192.168.100.0 24 192.168.254.2

                         

    R6: ip route-s 192.168.1.0 24 192.168.254.1 缺点:数据在经过运营商时没有加密。

    214  ipsec vpn:

    ① 两端公网地址网络可达

    ② 配置acl 感兴趣流量(经过vpn隧道传输的流量)

    R5:

    acl 3000  

       rule per ip source 192.168.1.0 0.0.0.255  destination  192.168.100.0 0.0.0.255    R6: acl 3000 

      rule per ip source 192.168.100.0 0.0.0.255  destination  192.168.1.0 0.0.0.255 

       

    215 组播

     multicast ,一次发送一组人接收     组播应用场景:广播电视、音视频会议系统、电视直播。

    组播作用:减少主干链路重复报文的发送,节省带宽,减少服务器和主干路由器的负载。

    216 防火墙:firewall

     工作模式:

    ①    透明网桥模式(可将防火墙当成二层交换机)

    ②    路由模式  (可将防火墙当成三层路由器)

    DMZ:demilitarizedzone,通常给该区域放服务器

    注:优先级越高表示越信任

    217 将接口划入区域

    218 方向:  outbound:高优先级访问低优先级  inbound:低优先级访问高优先级

    注:“访问”仅指的是出包即主动发起的第一个报文,即建立会话(session)的过程。

    219 五元组:

    cmd----》netstat-an

    ①  NAT(220  防火墙NAT )转换:firewall   允许内网私网用户访问外网服务器

    nat-policyinterzone trust untrust outbound   允许trust-

    >untrust转换

      policy 1                  定义转换策略1     action source-nat  仅转换源ip地址     easy-ip  Gi 0/0/2 出包时转成公网接口gi0/0/2的公网ip 注:不需要到接口下配置。

    ②  NAT转换:将内网服务器80端口映射出去

    nat server protocol tcp global23.1.1.3 80 inside 192.168.254.2 80

    调试命令:

    221  SLBserver  load-balance ):基于服务器的负载均衡

    注:slb集成NAT功能,因此不需要额外配置基于服务器的NAT 配置:

    slb enable slb

      rserver 1rip 192.168.254.2  真实服务器1的真实ip地址   rserver 2rip 192.168.254.3   group web

           addrserver 1       addrserver 2 

      vserver vweb vip 23.1.1.4 group web 创建虚拟服务vweb公网地址23.1.1.4,关联真实服务器组web

    222  网络运维监控----solarwinds



    核心开启snmp:

    223  网络运维监控之hostmonitor

    功能强大,可以监控端口 、网络可达性、DNS等等

    224   网络运维监控之spotlight 

     

    225   QOS :quality  of service 服务质量 作用:在不升级网

    络硬件带宽的前提下,通过对某些服务或者某些用户优先放行而实现带宽合理分配,提升用户服务质量。

    QOS配置步骤:

    ①   将流量进行分类

    trafficclassifier LD   将源ip为15.0 分到领导这个类别     if-match acl 2000

     acl number 2000      rule 5 permit source 192.168.15.00.0.0.255 ② 配置相关动作 behavior

    trafficbehavior LD  car cir 2000   确保2000kbps 的带宽 ③  配置策略 policy

    trafficpolicy LD  创建策略LD,将分类和动作进行关联

     classifier LD behavior LD ④ 接口下调用策略

    intgi0/0/0

      traffic-policy LD outbound 调试:

    226  panabit 流控软件安装 panabit



    用户名:root 密码: root 选择ad0 作为安装的硬盘   选择em2 网卡作为控制网卡

       ls     ./setup

    给管理网卡em2 配置ip地址和网关

    设置三个网卡的模式:

    win7虚机   IE浏览器

    https://192.168.31.24

    用户名:admin 密码:panabit

    227  配置panabit

    注意① 每个策略都需要时间调度才可以生效注意② 网卡都选择网桥1 注意③ 到对应的项目里面做对应的限制228  Linux 系统的安装

    Linux(Redhat 、Centos、redflag(红旗)、debian、

    opensuse、unbuntu、arch、freeBSD等等:安全 稳定 开源 windows(win7、winxp、win8、win2008等):消耗资源

    免费

    高、不太稳定

    安装

    229  基本指令

    ctrl + shift + + 放大字体 ctrl + -  缩小字体 init   3  进入非图形化界面 startx==init  5 进去图形化界面 vim  /etc/inittab

    3 非图形界面  5  图形界面

    reboot   之后就会进入相应的模式

     

    用户名@机器名  路径  ($代表普通用户  #根用户)  pwd 显示当前的路径 /  根目录

    cd  进入某目录  change directory ls   list  列出当前目录的内容/root/Desktop 桌面位置 mkdir   A   新建文件夹A

    .. 表示上一级目录 .  表示当前目录

    相对路径  cd   A 绝对路径  cd  /root/Desktop/A touch  1  创建文件 1

    -  表示光标之前所在的位置 “返回”

    cp  复制 (copy) rm  删除(remove) rm -fr  (force)强制删除任何文件和文件夹 mv  剪切(move) 重命名 init  0   关机 reboot  重启

    shutdown-h  20 &   20分钟之后关机 shutdown -c  取消关机 230  vi编辑器

    cp   /etc/inittab     .  将文档inittab 复制到桌面实验 

    三种模式指令模式(默认打开后就是这个模式)插入模式  i (insert)

    保存模式 :(:wq! 保存并强制退出)

    r   替换某单个字符(replace)

    esc退出到命令行模式

    u  撤销 dd  删除一行

    /no    查找no 关键字  n 下一个(next) N 上一个 shift +zz  (英文,小写)7yy  复制光标以下七行p  粘贴 (paste)

    231  网络配置 ifconfig   查看网卡接口配置

    ifconfigeth0  1.1.1.1 netmask 255.255.255.0  临时给网卡配

    置ip地址

    route  add -net 0.0.0.0 netmask 0.0.0.0 gw1.1.1.254  临时

    配置网关

    serviceNetworkManager stop  停止图形界面的网络服务(没

    有无线网卡,没必要开启) chkconfigNetworkManager off  开机不启动 setup

    ifdown   eth0  禁用eth0 网卡 ifup        eth0 启用eth0 网卡设置网卡使其开机自启动重启网络服务时也是自启动

    cd  /etc/sysconfig/network-scripts vim ifcfg-eth0

    cat  ifcfg-eth0  查看该文件内容

    service network restart  重启网络服务

    注:每次修改完配置文件后都要通过重启相关服务才可以使配置生效。

    232  关闭防火墙和 selinux iptables  -F  清空防火墙策略 /etc/init.d/iptables  save  保存刚才的配置 vim /etc/selinux/config

    重启生效

    setenforce=0  临时关闭selinux 233 安装 vm-tools

    一路回车!!!

    安装完成之后,

    reboot重启即可 234  ssh 服务:远程登录  安全  默认开启 无需设置修改主机名(hostname)

    hostname  xiaoge临时修改 vim  /etc/sysconfig/network  永久修改

    ssh  x.x.x.x 235  yum 源的配置:作用方便安装某些软件和服务(功能)先将iso系统镜像复制到虚机里面,然后将iso 镜像挂载到相关目录 才可以使用

    cd     /

    mkdir   iso123 mkdir   ISO

    mv  /root/Desktop/rhel-server-Linux-6.2-x86_64-dvd.iso  

    /iso123 vim   /etc/fstab

    安装软件方法

    法①   rpm 安装  cd   /ISO/Packages

    安装dhcp 服务

    rpm-e dhcp   卸载该服务法②使用yum 源安装:优点 :自动解决软件包的依赖性 yum 源配置:检查yum 源是否做好

    安装

    yum install    xxx -y (xxx表示软件包的名称(非全称))

    卸载

    yum remove  xxx -y

    236  VNC:virtual network computer ,跨平台 (linux 平台 

    windows平台  MAC OS 平台),支持图形界面远程管理linux

    yum clean all  清空yum 源 yum repolist  重新生成 yum  install tigervnc*  -y  安装vnc

    vncserver   回车 输入密码 (该密码是用户远程控制时需要输入的密码)启动vnc服务并设置密码本地客户端测试:

    vncviewer --->127.0.0.1:1 远程控制:安装vnc  利用vncviewer---》

    确保网络可达

    注:vnc 重启之后,服务需要重新启动 237  配置vnc服务自启动 vim  /etc/sysconfig/vncservers  VNCSERVERS="1:root"

     

     VNCSERVERARGS[2]="-geometry 800x600-nolisten tcp localhost" chkconfig vncserver on  开机使得vnc 服务自启动 238  Linux 系统的口令恢复(密码破解)

    passwd    修改根用户的密码开机前3s按任意键 终止启动

    回车后 按b 键启动   启动后 重新重置密码

    239防止修改密码 240   破解启动项密码(unlock 密码)



    删除密码

    删除后 重启即可 241  linux 文件传输

    scp:security copy  基于ssh 使用tcp 22号端口

    linux:31.34--------linux:31:100scp  qq 192.168.31.100:/root/Desktop  将本地的qq文件传

    至对方桌面 scp 192.168.31.100:/root/Desktop/youjie .  将对方桌面上

    的youjie文件复制到本地注:传递文件夹需要增加 -r 例如:

    scp -r abc192.168.31.100:/root/Desktop  将本地abc 文件夹传至对方电脑 242  windows 向linux 传输文件:winscp

    243  FTP:文件传输协议(FTP:FileTransfer Protocol)

           VSFTP :verysecure file transport protocol (linux)

    客户端访问:windows

    客户端访问:linux

    图形界面---place---connect toserver

    244   WLAN:Wireless LocalArea Networks 无线局域网

    802.11n   802.11ac (最快)

    STA:station 工作站    PC、手机、PAD AP:access  point

    AC:accesscontrol (接入控制器),控制各个无线AP

    组网方式:a  直连式组网

    组网方式: b  旁挂式组网

    用户数据(业务报文)转发方式:集中式转发(隧道转发) : 隧道指的是AP和AC之间建立的 capwap 隧道

    本地转发  (直接转发) 数据直接转发,不从新封装 WAN 组网:二层组网:从AP 到AC之间是二层,ap 和ac 在同一个广播域三层组网:从AP到ac之间 是三层,AP的广播无法发送到AC wlan 工作频率:

    2.4GHZ  普通 速率低 干扰大

    5G GHZ  高配 速率快 干扰小 245  wlan 有线侧配置:dhcp 路由 vlan trunk

    在ac 上查看AP是否上线(获取到ip)

    AC增加指向 R1 出口缺省路由

    ip  route-s  0.0.0.0   0  192.168.240.2 246  WLAN 无线侧配置

    SSID:service-set ID(信号名称) ①  全局配置

    wlanac-global country-code CN   配置国家代码

    (不同国家无线信道的标准不一样,中国2.4GHZ 分为13个信道)(默认)

    wlanac-global ac id 1 carrier id other  配置ac id 1 以及运营商 ②   配置AP上线  指定与AP建立capwap 隧道的接口

    wlan  

        wlan ac source interface vlanif100  

         ap-auth-mode mac-auth  配置AP的认证方式(默认)

    wlan

        ap id 1   type-id 19 mac   00e0-fcee-0410     ap id 2  type-id 19 mac   00e0-fcc1-1470

      

    至此两个AP 全部上线!!

    247  wlan 无线侧配置(2)

    wlan

    全局下配置:给用户群A虚接口:

    248 配置一个服务集 将上述定义好的模板调用起来

    wlan:

    commit  all  确认提交所有的配置检查用户的上网情况

    249完善实验

    R1:ip route-s 192.168.0.0 16 192.168.240.1 回包int loo 0

       ip add 9.9.9.9 24  模拟外网百度

    AC整个配置:

    <AC6605>discurrent-configuration vlan batch 100 to 102 800 wlan ac-global carrier id other ac id 1 dhcp enable interface Vlanif100

     ip address 192.168.100.1 255.255.255.0

     dhcp select interface

     dhcp server dns-list 8.8.8.8 9.9.9.9 interfaceVlanif101

    #

     ip address 192.168.101.1 255.255.255.0

     dhcp select interface

     dhcp server dns-list 8.8.8.8 9.9.9.9 interfaceVlanif102

    #

     ip address 192.168.102.1 255.255.255.0

     dhcp select interface

     dhcp server dns-list 8.8.8.8 9.9.9.9 interfaceVlanif800

    #

     ip address 192.168.240.1 255.255.255.252interface GigabitEthernet0/0/1  portlink-type trunk  port trunk pvid vlan 100  undo port trunk allow-pass vlan 1

     port trunk allow-pass vlan 100 to 101

    #

    interfaceGigabitEthernet0/0/2  port link-typetrunk  port trunk pvid vlan 100  undo port trunk allow-pass vlan 1  port trunk allow-pass vlan 100 102

    #

    interfaceGigabitEthernet0/0/3  port link-typeaccess  port default vlan 800 interfaceWlan-Ess1  port hybrid pvid vlan 101

     port hybrid untagged vlan 101 interfaceWlan-Ess2  port hybrid pvid vlan 102

    #

     port hybrid untagged vlan 102

    #

    iproute-static 0.0.0.0 0.0.0.0 192.168.240.2

    #wlan

     wlan ac sourceinterface vlanif100  ap id 1 type-id 19mac 00e0-fcee-0410  ap id 2 type-id 19mac 00e0-fcc1-1470

     wmm-profile name wmm-1 id 1  traffic-profile name tra-1 id 1  security-profile name sec-1 id 1  service-set name hcie id 1   wlan-ess 1  ssid hcie   traffic-profile id1   security-profile id 1   service-vlan 101  service-set name hcie2 id 2   wlan-ess 2  ssid hcie2   traffic-profile id1   security-profile id 1   service-vlan 102  radio-profile name rad-1 id 1   wmm-profile id 1  ap 1 radio 0  radio-profile id 1   service-setid 1 wlan 1  ap 2 radio 0   radio-profile id 1   service-set id 2 wlan 1 # return

    <AC6605>250  优化配置

    wlan     service-set id 2

            user-isolate 配置用户互相隔离

    251  AP 工作过程

    ①  AP发送普通DHCP 请求报文,获取IP地址

    ②  查找AC :AP 触发capwap 的广播查询报文

    ③AP 找到AC后,会和AC建立capwap 隧道,同时从AC请求配置。拿到配置后就可以发送电磁波让用户上网。

    ④ 用户看到wifi信号,连接并上网

     



    展开全文
  • hcna

    2019-05-27 11:31:00
    华为: ========console设置密码开始 system-view //进入系统视图 <Huawei>sy<Huawei>system-view Enter system view, return user view with Ctrl+Z.[Huawei] ...[R1]user-interface console 0 //配...

    华为:

    ========console设置密码开始

    system-view //进入系统视图

    <Huawei>sy
    <Huawei>system-view
    Enter system view, return user view with Ctrl+Z.
    [Huawei]

    sysname //修改设备名

    [R1]user-interface console 0  //配置console 0

    [R1-ui-console0]authentication-mode password   //回车后输入密码

    quit quit quit //退到最外层,重连

    dis users   //显示用户,验证,会显示authenstatus为pass

    有些交换机上 使用set authentication password simple qytang设置密码

    [Huawei-ui-console0]set authentication password simple qytang

    ===========console设置密码结束

     

    思科:

    ==========console设置密码开始:

    Router>enable //进入特权模式,有>号的叫用户模式
    R2-Cisco#configure terminal //进入配置终端
    R2-Cisco(config)#line console 0 //进入console配置模式
    R2-Cisco(config-line)#password qytang //设置console的密码为qytang
    R2-Cisco(config-line)#login //开启console认证

    exit退出,然后再console连,需要密码了

     

    如果要清空所有的配置,不要在真机做:

    write erase  #不要在真机做

    reload    #重启

    这样所有的配置就清空了。

    ==========console设置密码结束

     

     

     

    显示路由器和交换机接口:

    交换机接口从1开始,路由器接口从0开始

    华为:

    asw1交换机中执行:

     dis ip int brief

    dis int brief

     

    ==========远程登录开始

    华为模拟器从sw1远程登录r1

    华为路由器:

    sy   //system-view

    sysname hw-r1   //改名字

    interface g0/0/1  #配置r1的g0/0/1接口,路由器从g0/0/0开始,不过我们这个配1接口

    ip address 10.1.11.1 29    //29是子网掩码

    dis th    //显示g0/0/1 ip address 10.1.11.1 255.255.255.248

     

    华为交换机:

    sy  

    sysname hw-sw1

    interface vlanif 1

    ip address 10.1.11.2 29

    display mac-address   //显示交换机里的mac地址

     

    从r1 ping :

    ping 10.1.11.1

    ping 10.1.11.2

     

    telnet远程管理华为:

    路由器r1执行:

    telnet server enable   //开启远程telnet功能,该命令在真机没有开启,,华为模拟器上不用执行这个命令,因为默认开启

    user-interface vty 0 4     // vty为虚拟终端,01234,共5个

    authentication-mode  password  //在路由器上默认配置完毕(交换机并不是如此)

    set authentication password cipher qytang   //设置认证密码方式

    undo authentication-mode     //取消密码认证

     

    交换机sw1执行:

    在用户模式执行:<HW-SW1>telnet 10.1.11.1   //对端地址,输入密码

     

    在ensp里开始抓包

     

    路由器r1执行:

    display users   //查看上面telnet登录的用户

     ==========远程登录结束

     

    思科:

     ==========远程登录开始

    r1 路由器:

    清空配置:wr erase

    reload

    sw1交换机:

    清空配置:wr erase

    reload

     

     

    路由器:

    en

    conf t

    hostname c-r1

    show ip int brief  //显示接口名字

    int e0/1     //进入接口e0/1

    no shutdown   //思科设备默认端口关闭,所以需要手工开启

    ip address 10.1.11.1 255.255.255.248

    开始开启telnet:

    conf t

    line vty 0 4   //开启5个vty 

    //transport input telnet     //在有些思科的设备上可能需要,如果登录失败可以执行这个  ,transport input ?  会显示支持多少协议

    password qytang   //设置密码

    login   //开启登录开关

    //下面交换机登陆后执行show users

     

    交换机:

    en

    conf t

    hostname c-sw1

    int vlan 1

    no shutdown

    ip address 10.1.11.2 255.255.255.248

    ping 10.1.11.1    //在思科上.代表超时,!代表成功

    telnet 10.1.11.1    //输入密码

     

      ==========远程登录结束

     

     

    cisco思科查看端口:

    show int e0/0    //显示mtu最大传输单元 1500字节,

     

    cisco连续开启路由器上的接口:

    en

    conf t

    interface range e0/0-2

    no shutdown

     

     

    ----------------

     

    思科路由器开启lldp自动发现协议

    en

    conf t

    lldp run    //开启lldp,公有的链路层发现协议。

    交换机是没有lldp命令的

    show lldp neighbors    //查看lldp的邻居。 show lldp neighbors detail   //查看详细情况

    no cdp  run //关闭整个思科设备的cdp   ,全局关闭

    cdp也可以在接口下操作,全局开启cdp,关闭特定接口的cdp:

    conf t

    cdp run

    int e0/0

    no cdp enable   //把e0/0的cdp关掉

     

     

    ---------------

    华为路由器开启lldp自动发现协议

    system-view

    lldp enable    //开启lldp,

    dis lldp neighbor   //显示lldp邻居      dis lldp neighbor brief//显示简要信息

    华为交换机也是可以开启lldp的。华为没有cdp,cdp是思科独有的

    undo lldp enable//  关闭lldp自动发现。

     

    ---------------

    思科全双工半双工模式

    交换机修改e0/1接口为全双工模式,模拟器默认为半双工:

    en

    int e0/1

    duplex full

    do sh int e0/1      //里面默认有auto-duplex

     

     

    华为交换机修改全双工半双工:

    system-view

    int g0/0/1

    duplex half   //会提示你更改半双工失败,请先关闭掉自协商。

    undo negotiation auto   //所以先关闭自动协商

    duplex half    //这次提示你速度改为了1000,需要先更改速度

    speed 100 //改成100

    duplex half  //这次改成半双工可以了,但是没人这么做。

     

     

    --------------------------

    mac地址表:

    交换设备上vlan内部实现通信的转发决策表(普通路由器是没有mac地址表,插了2层板卡的路由器才有mac地址表)

    华为路由器显示mac地址表:

    display mac-address   //不过是空的。

    思科路由器是没有上面类似命令的

     

    交换机的转发行为:转发,丢弃,泛洪(转发到所有接口去flooding)

    交换机收到广播报文或者未知单播,就会发送泛洪到每一个接口。当pcA送到pcB,交换机不知道pcB的mac地址,就会发送泛洪。

     

    华为交换机:

    system-view

    int vlan 1

    ip address 10.1.11.2 29

     

    华为路由器:

    system-view

    int g0/0/1

    ip address 10.1.11.1 29

    退出到用户模式

    ping 10.1.11.2

    dis int g0/0/1   //显示g0/0/1口的详细情况,里面有mac地址

     

    华为交换机就收到了r1的g0口mac地址:

    display mac-address

     

     

    思科交换机:

    en

    conf t

    int vlan 1

    no shutdown

    ip address 10.1.11.2 255.255.255.248

    show mac address-table //查看mac地址表

    思科路由器:

    en 

    conf t

    do sh run int e0/1

    ip address 10.1.11.1 255.255.255.248

    ping 10.1.11.2

     

    -------------------------------

     

    调试命令 debug

    华为路由器:

    路由器先配置ip地址

    system-view

    sysname hw-r1

    int g0/0/1

    ip address 10.1.11.1 29

     

    华为交换机:

    system-view

    sysname hw-sw1

    int vlan 1

    ip address 10.1.11.2 29

     

    华为路由器:

    进入终端调试:

    在用户模式下:

    <hw-r1>terminal debug      //开启调试日志,一次性的开启调试命令

    debugging ip icmp         //打开调试icmp的报文,一次性的。进入其他模式就没了。

     

    此时在交换机sw1上 ping 10.1.11.1

    去路由器r1上看,会有很多debug信息

     

     

    --------------------

    华为查看路由表

    display ip routing-table

     

    思科查看路由表:

    show ip route

     -------------------- 

     

     思科打开ssh

    hostname r1

    username alex password blex  //配置本地认证的用户名和密码

    ip domain name alex.com //配置域名

    crypto key generate rsa //产生ssh所需秘钥

    768  //ssh2必须使用768位以上密码

    #ip ssh version 2//开启ssh版本2 ,可能这条不用执行

    line vty 0 4   //虚拟终端 0-4

    login local   //通过本地认证登录,一定要配这个,刚才第二行建了用户名和密码,执行了这个才能进入用户名和密码

    transport input ssh   //允许ssh登录vty

    conf t

    enable password //让连进来的人 可以开启特权模式

    terminal monitor  //似的远程连接可以显示日志

    当登录后执行show users验证。

    show tcp brief   //显示tcp连接,简要信息

     

     

    在思科r2上测试,ssh连r1:

    en

    conf t

    hostname r2

    int e0/0

    no sh

    ip address 10.1.2.0 255.0.0.0  //配置r2的ip

     退到用户模式:

    ping 10.1.1.0   //通

    ssh -l alex 10.1.1.0  //连r1的ip

    en   //进入特权模式 如果无法进入,需要在r1上执行enable password,

     

    华为的ssh配置:

    hw-r1:

    system-view

    sysname hw-r1

    int g0/0/0

    ip address 202.100.1.1 30

     

    hw-r2

    system-view

    sysname hw-r2

    int g0/0/0

    ip address 202.100.1.2 30

    ping 202.100.1.1

     

    开启r1的ssh

    aaa  //进入aaa(认证授权和审计,这三种模式)

    local-user alex password cipher blex //本地创建用户alex以及对应密码

    local-user alex privilege level 15//用户级别15(最高级别)

    local-user alex service-type ssh  //该用户服务于ssh应用

    q   //退出aaa模式

    ssh user alex authentication-type password   //创建一个ssh的用户alex,认证方式为密码认证

    stelnet server enable  //开启ssh服务

    rsa local-key-pair create //本地创建秘钥

    user-interface vty 0 4    //进入vty接口

    authentication-mode aaa //认证采用aaa,去本地创建的aaa账户和密码认证

    protocal inbound ssh    //vty允许ssh登录

     

    华为r1测试,r2 ssh r1

    system-view

    ssh client first-time enable   //第一次登陆要执行这个

    stelnet 202.100.1.1

     

     --------------------------------

    华为的视图:

    用户视图-设备启动后的缺省视图,可查看启动后基本运行状态和统计信息

    系统视图-配置系统全局通用参数的视图 system-vew

    路由协议视图-配置路由协议参数的视图 ospf

    接口视图-配置接口参数的视图 int g0/0/0

    用户界面视图-配置登录设备的各个用户属性的视图 user-interface ,管理console,vty

     

    思科的ios模式:

     

     用户模式> , 不能配置,只能看基本信息,也不能看太多。

    特权模式 enable,  #, 能配置的内容非常少,可以show

    配置模式 conf terminal   ,  可以配置路由协议视图 router ospf 1 ,也可以配置接口  int e0/0

     

    ----------------------------

    华为常用信息查看命令

    display version  , 查看vrp版本,设备型号,工作时间,硬件内容

    display current-configuration ,查看当前的信息,或者ctrl+g

    display interface g0/0/0 显示接口信息

    display ip interface brief , 显示接口ip状态与配置信息

    display diagnostic-information,  慎用 信息过多

    display history-command  //查看历史命令记录

    user-interface console 0 //进入用户视图,console 0,为了改下面一条历史命令缓冲区大小

    [r1-ui-console0]history-command max-size ? //华为设备调整历史命令缓冲区的大小,默认10条

    display this   //查看当前配置,很简短

    (一屏幕显示所有命令,不用敲回车或空格:

    user-interface con 0 //进入华为设备的用户console视图

    screen-length 0 //0代表不打断,显示所有的信息)

     

    思科常用信息查看精灵

    show version, 版权,运行时间,版本号,型号,license,板卡接口

    show running-config ,查看当前的运行配置

    show interface e0/0 显示接口信息

    show ip interface brief 显示接口ip状态与配置信息

    show diagnostic 模拟器不支持

    show tech-support   显示支持什么功能,生成树的状态

     show history   显示命令历史

    (调整历史缓冲区大小:

    conf t

    line console 0   //在console调整的,后期都生效

    history size 256  //设成256条)

    一次性调整:terminal history size 2  //一次性的,退出模式就没了

    terminal length 0  //显示所有行,本来一条show run命令会分页,设置这个,一下子显示所有行

     

    ------------------

    华为的管道符:

    快速定位配置

    dis current-configuration | ?  //begin count exclude include

    dis cu | begin user

    dis cu | i user

    dis cu configuration ?

     

    思科的管道符:

    #sh run | ?    //section,begin,include

    sh run | begin con 0  

    sh run | section con     //类似grep

    sh run | include con    //include没有section显示的多

    ----------------------------------

    ctrl + T  华为输入 ?问号字符

    ctrl + C 华为上中断测试命令如ping, 思科上为从其他模式退出到特权模式,思科的中断为ctrl shift 6

    ctrl z,华为退出到用户视图。思科为执行并退出到特权模式,如果打了个router ospf 110 (然后按了ctrl z,执行了,退出到特权模式)。

     

    ----------------------------------

    文件系统管理

    华为:

    >dir

    save保存配置到nvram.flash vprcfg.zip

    reset saved-configuration  //会提示你清除内存中保存的配置,选y。

    reboot    //选n。如果选yes,所有运行中的配置会被再次写入硬盘,等于没有删除。

     

     

    思科:

    wr 保存配置 保存配置到nvram.flash

    wr erase 删除所有保存的配置,

    reload 重启,在删除后,提示系统配置已修改,需要保存么?一定要选no。如果选yes会把系统运行中的配置再次覆盖进去,所以没有删除配置。

     

    -------------------------------- 

    ftp

    tcp 端口20 21

    华为ftp实现:

    ftp server enable

    aaa

    local-user alex password cipher blex  //使用之前创建的用户ender

    local-user alex privilege level 15//用户级别为管理级15

    local-user alex ftp-directory flash:  //该用户可以访问的ftp目录为根目录

    local-user alex service-type ssh ftp  //用户可以使用ftp和ssh服务

    //或者用一条命令local-user alex password cipher lex privilege level 15 ftp-directory flash:  

    save clex.zip   //在用户试图下保存配置为clex.zip,为了测试可以ftp复制

     

    tftp 思科采用tftp,但是模拟器不支持

    udp 端口69 

    思科用tftp上传下载ios

    从路由器下载(备份)以及上传ios

    1)实现连通性

    2)用tftp上传和下载ios

    en

    conf t

    show ip int brief   //看看接口地址

    int g0/0    //不是以前模拟器的e0/0了,一切看真机的接口

    ip address 10.1.8.181 255.255.255.0

    do ping 10.1.8.188   //另外台机器 测试一下ping

    copy flash:/c1900xxxxx.bin tftp:      //输入10.1.8.188   可以改名

     

    ----------------------------

     vlan

    每个vlan是一个广播域(网段及子网)

     vlan的创建

    华为的三台交换机,sw1,2,3 改名

    sw3:

    vlan batch  8 to 12 99 //创建了8 9 10 11 12 99 一共六个vlan

    sw1:同上

    sw2:同上

    验证vlan配置成功:

    display vlan summary

     

    思科的vlan创建:

    在sw1 ,2,3执行

    en 

    conf t

    vlan 8,9,10,11,12,99    //创建vlan

    验证:

    show vlan brief

    vlan可以改名字

    conf t

    vlan 8

    name ccna   //可改名字

    vlan 9

    name ccnp   //改名字

    show vlan brief

    ----------------------------

    vlan的端口模式实施

     华为vlan端口的模式:接入模式access,干道模式trunk,混杂模式hybrid,QinQ模式(企业网中很少用,运营商网络偶尔用)

    端口链路模式(port-link)怎么看:

    system-view

    int g0/0/1    

    port link-type ?  //显示access,totlq-tunnel,hybrid,trunk

     

    思科:

    有接入模式,干道模式,私有vlan,qinq

    en

    conf t

    int e0/1

    switchport mode ? //显示access,dot1q-tunnel,dynamic(这是协商trunk模式),private-vlan(私有vlan),trunk

     

    以下这些模式,都是对vlan id 的操控

    独享的接入模式access:数据帧进出接口只有一个vlan id(数字),进入交换机时打上一个tag vlan id,从交换机端口出去时抹除这个vlan id

    什么叫独享?

    为什么没有vlan0?

    属于同一vlan的设备默认可以通信。

    vlan的帧格式:

     

     

    实验1:在交换机3上,把接口划分进vlan

    实验目的:使得同一vlan中的设备完成通信。

    华为sw3:

    system-view

    int g0/0/10    //进入10口

    port link-type access    //华为默认的模式为混杂模式,改为接入模式

    port default vlan 8        //把接口划分进vlan 8

    int g0/0/11         //11口进入vlan 8

    port link-type access

    port default vlan 8

    int g0/0/12       //12口进入vlan 8

    port link-type access

    port default vlan 8  //把接口划分进vlan 8,这样3个接口都进vlan8了

    验证:

    display port vlan active     //查看端口的vlan状态

     

    思科做上面实验:

    思科的vlan和华为的不同,就算wr erase 清空配置并重启,也不会清空vlan的id,因为思科把vlan的信息放在了文件系统的vlan.dat里面.如果要删除vlan,就需要删除这个文件。

    delete vlan.dat

    交换机3上去做

    en

    show vlan brief  //默认交换机口子都在default这个1号vlan里,交换机的et0/0,et0/1,ed0/2,et1/1,et1/2,et1/3

    conf t

    int range e0/0 - 2   //进入连续的e0/0 - 2  3个端口

    switchport mode access  //接口模式改为接入模式

    switchport access vlan 8   //把这些接口划分到vlan 8

    验证:

    show vlan brief   //发现et0/0 1 2 被划分到vlan 8小组去了

     

    理论和排障:TAG(优先级和12位的vlan id);pvid(port vlan id);当数据帧从一个接口进入时,给该帧增加pvid。数据帧转出时,只能从同一个vlan转出(vlan list),同时去掉vlan id的标记,还原为原始的以太2型帧

    华为sw3看vlan list:

    display port vlan active

     

    实验2:交换机之间能否配置access完成通信?

    可以。用acess方式是可以的,但是存在一些问题,这些问题被trunk模式解决。access用于交换机之间时,占用较多链路。access会在vlan内流量独占链路。但随着vlan数目增加,占用的接口随之增加。

    sw1和sw3之间实施access,完成r1(10.1.10.2/24)和pc1的通信

    思科r1配置:

    en

    conf t

    int e0/1

    no sh

    ip address 10.1.10.2 255.255.255.0

     

    思科sw1配置:

    en

    conf t

    int e0/1

    switchport mo acc    //把交换机接口改为access

    swich acc vlan 8  //改为vlan8

    int e0/3

    sw mo acc

    sw acc vlan 8

     

    思科sw3配置:

    en

    conf t

    int e0/3

    sw mo acc

    sw acc vlan 8

     

    测试:

    从pc1 ping 10.1.10.2

     

     

    华为的测试:

     r1的 vlan9 ---> sw1 的vlan9 --->sw3的vlan8---> sw3的另一个vlan8 --- pc1

     步骤:

    sw1:

    system-view

    int g0/0/1

    port link-t acc

    port de vlan 9

    int g0/0/3

    port 1 ac

    po de vlan 9

    验证sw1:

     q

    display port vlan active

    display current interface

     

    sw3:

    system-view

    int g0/0/3

    port l ac

    port de vlan 8

    int g0/0/10

    port de vlan 8

     

    r1:

    system-view

    int g0/0/1

    ip address 10.1.10.2 24

    退出到用户模式:

    ping 10.1.10.1

     

     

    --------------

    思科:如果内网间机器ping不通,检查一下mac地址表和内网机器的mac地址表,检查arp表

    show mac address-table // show mac address-table vlan 1    // pc2或内网机器  show int e0/0 //检查mac地址表和检查网卡的mac地址

    clear mac address-table dynamic vlan 1  //清空vlan1的mac地址表,会造成vlan1的网络中断。

    arp表(地址解析协议,和3层的直连网络互通有关系):把ip地址解析成mac地址

    show arp    //去往某个ip地址应该发往哪个mac

    clear arp-cache  //清空arp的缓存

    --------------

    共享的干道模式trunk:trunk允许多个vlan流量在同一链路上转发,trunk上可以转发不同vlan的帧。trunk通过帧中的tag指定vlan流量的归属。

    华为特有的混杂模式:

     

     ------------------------------------------

    QCNA6-9-干道链路和本征vlan的操控.txt

    课前测试
    1.交换机之间只能实施trunk模式,而不能使用其他模式,该说法?
    A 正确
    B 错误
    答案 B
    2.以太2帧在进入一个接入接口时,会拿掉该数据帧的PVID,增加TAG,该说法?
    A 正确
    B 错误
    答案 B
    3.以太帧在从交换机的一个接口转发出去时,可以拿掉多个VLAN标记转发出去,该说法?
    A 正确
    B 错误
    答案 B
    ===============================

    课程目标:
    1.掌握trunk模式
    一个链路就可以承载多个VLAN的数据(共享模式)
    TAG(4字节):VLAN ID
    trunk的转发:
    出方向:1)必须允许帧通过该接口(vlan list) 2)如果与该trunk的本征vlan(1)/PVID VLAN(1)不同,则携带TAG直接转发
    入方向:1)帧已经有标记,则不做任何改变
    思科:
    interface Ethernet0/3
    switchport trunk encapsulation dot1q   //trunk的封装模式,用dot1q标准(或者叫802.1Q标准),这是一种共有标准
    switchport mode trunk
    验证:
    C-SW1#show int trunk

    Port Mode Encapsulation Status Native vlan
    Et0/3 on 802.1q trunking 1
    Po12 on 802.1q trunking 1
    Port Vlans allowed on trunk
    Et0/3 1-4094 //允许所有vlan的帧通过
    Po12 1-4094
    测试:
    PC1#ping 10.1.10.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.1.10.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/201/1002 m
    HW:
    [HW-SW1]clear configuration interface g0/0/3
    Warning: All configurations of the interface will be cleared, and its state will be shutdown. Continue? [Y/N] :y
    #
    interface GigabitEthernet0/0/3
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    验证:
    [HW-SW3]display port vlan active
    T=TAG U=UNTAG
    -------------------------------------------------------------------------------
    Port Link Type PVID VLAN List
    -------------------------------------------------------------------------------
    GE0/0/3 trunk 1 U: 1
    T: 8 to 12 99
    2.掌握trunk上的PVID VLAN/本征VLAN
    默认是vlan1,可以修改本征(native)vlan为其他vlan
    在trunk上不携带VLAN TAG的一个特殊vlan
    是基于接口还是基于设备的?基于接口
    1)应用场景:一些设备不能识别TAG的时候-->本征VLAN
    2)造成的混乱:接入不同VLAN的设备实现了通信(跨越VLAN通信)
    如何理解本征VLAN:高速上一条特殊车道?应急车道
    3)解决方案 A、(主动)给本征vlan加Tag标记(vlan dot tag)
    vlan dot1q tag native
    也就是说trunk端口发往对端设备的以太网帧是携带标记的吗?yes
    B、(被动)本征vlan改为一个非业务VLAN
    C-SW1(config-if)#switchport trunk native vlan 99
    port trunk pvid vlan 99
    作业:
    A、Cisco:在trunk的场景下,修改两端的本征VLAN,使得属于不同vlan的设备通信--->主动方案使得不同vlan的终端不能访问
    B、HW:在trunk的场景下,修改两端的本征VLAN,使得属于不同vlan的设备通信--->被动方案,在trunk上修改PVID VLAN为VLAN99!
    3.混杂模式(HW-hybrid)
    连接终端时,出方向可以允许多个VLAN通行,然后拿掉TAG!

     课堂笔记结束

    -----------------------------------------------

    实验:

    思科sw1和sw3之间实现trunk

    sw3:

    en

    show run int e0/0/0

    show run int e0/0/1     //如果都属于vlan8,都改成vlan9

    show run int e0/0/2    //如果都属于vlan 8,改成vlan10

    conf t

    int e0/1 

    switch port access vlan 9   //改成vlan9

    int e0/2

    switch port access vlan 10  //改成vlan10

    int e0/3

    switchport trunk encapsulation dot1q   //trunk的封装模式用dot1q(也叫802.1Q标准),是种公有标准。

    switchport mode trunk    

     

    sw1:

    en

    conf t

    defualt int e0/3    //把e0/3接口的所有信息清空

    int e0/3

    switchport trunk encapsulation dot1q

    switchport mode trunk  

    no shu

    思科trunk配置结束。

    验证:

    show int trunk

    Port Mode Encapsulation Status Native vlan
    Et0/3 on 802.1q trunking 1                    //on代表switchmode trunk,   最后的1为本征vlan
    Po12 on 802.1q trunking 1
    Port Vlans allowed on trunk
    Et0/3 1-4094 //允许所有vlan的帧通过
    Po12 1-4094

     

    华为:

    sw1和sw3做trunk

    sw1:

    system-view

    clear configuration interface g0/0/3    //华为一定要先清除g0/0/3上的所有配置,才能做下面的。

    int g0/0/3

    un sh            //打开接口

    port link-type trunk    //修改接口链路类型为trunk

    port trunk allow-pass vlan all   //允许所有vlan通过

    验证:

    dis port vlan ac     //查看接口vlan的活动信息

     

    sw3:

    system-view

    int g0/0/3

    port link-type trunk

    vlan batch 8 to 12 99

    port trunk allow-pass vlan all   //允许所有vlan通过

    int g0/0/10

    port default vlan 8

    验证:display port vlan active

     

    sw1:

    int g0/0/1

    port de vlan 8

     

     

    测试:

    r1:

    ping 10.1.10.1

     

    ---------------------------------------

    QCNA5-26-本征VLAN的应用场景和在华为设备实施.mp4

     QCNA5-27-本征VLAN在思科实现和解决方案.mp4

     ----------------------------------------

    QCNA6-10-华为的混杂模式以及生成树工作原理.txt

    1.接入端口,在流量的出方向和入方向仅仅能允许一个VLAN的帧通过,该说法?
    A 正确
    B 错误
    答案 A
    2.Cisco设备上的trunk在工作后,默认允许所有VLAN(1-4094)的流量通过,该说法?
    A 正确
    B 错误
    答案 A
    3.trunk链路默认允许常规vlan通过,数据帧从该trunk端口发出去,VLAN ID在允许发送的列表中,如果该VLAN与trunk的PVID(native)相同,则会保持TAG,直接发送数据帧。该说法?
    A 正确
    B 错误
    答案 B
    4.设备上默认的本征VLAN(PVID VLAN)是VLAN?
    A.1
    B.99
    C.100
    答案 A
    =========================================
    今天目标:
    1.混杂模式(HW特有)
    灵活的控制VLAN ID
    独享和共享
    连接终端主机的接口:入方向增加该接口配置的1个PVID,出方向允许多个VLAN的帧通过,同时拿掉TAG
    连接交换机的接口,非常类似于Trunk(但是可以给PVID VLAN增加标记)
    需求:R1可以和PC、PC2通信,但是PC1和PC2不可以通信
    交换机互联接口:
    interface GigabitEthernet0/0/3
    port hybrid tagged vlan 1 to 4094 //继承标记
    [HW-SW1-GigabitEthernet0/0/3]dis port vlan ac
    T=TAG U=UNTAG
    -------------------------------------------------------------------------------
    Port Link Type PVID VLAN List
    -------------------------------------------------------------------------------
    GE0/0/1 access 8 U: 8
    GE0/0/2 hybrid 1 U: 1
    GE0/0/3 hybrid 1 T: 1 8 to 12 99
    连接终端的流量的入接口:
    [HW-SW3-GigabitEthernet0/0/10]port hybrid pvid vlan 8
    interface GigabitEthernet0/0/11
    port hybrid pvid vlan 9 //增加标记

    连接终端的流量的出接口
    [HW-SW1-GigabitEthernet0/0/1]port hybrid untagged vlan 8 9 //拿掉标记
    汇总配置:
    SW1:
    #
    interface GigabitEthernet0/0/1
    port hybrid pvid vlan 11
    port hybrid untagged vlan 8 to 9 11
    SW3:
    [HW-SW3-GigabitEthernet0/0/10]dis th
    #
    interface GigabitEthernet0/0/10
    port hybrid pvid vlan 8
    port hybrid untagged vlan 8 11
    dis cu int g0/0/11
    #
    interface GigabitEthernet0/0/11
    port hybrid pvid vlan 9 //帧增加端口VLAN标记9
    port hybrid untagged vlan 9 11 //出方向允许9和11通过,行为是拿掉TAG9和11
    VLAN ID的变化过程:
    PC1-->R1;+8,8,-8
    PC2-->R1;+9,9,- 9
    R1--->PC1:+11,11,-11
    R1--->PC2:+11,11,-11
    PVID,空白-->标记
    TAGGED,继承
    UNTAGGED,拿掉标记-->空白!
    ------------------------------
    请问如何使得PC1和PC2通信?
    interface GigabitEthernet0/0/10
    port hybrid pvid vlan 8
    port hybrid untagged vlan 8 to 9 11
    #
    return
    [HW-SW3-GigabitEthernet0/0/10]int g0/0/11
    [HW-SW3-GigabitEthernet0/0/11]port hybrid untagged vlan 8 to 9 11
    -------------------------------
    SW1的1口使用trunk连接R1,如何使得R1可以识别这个帧呢?
    最俗的实施方式:
    交换机互联使用trunk
    连接路由器的物理接口,连接终端采用access
    -------------------------------
    tag是由vlan id产生的对吗?
    vlan id 是tag里的一个字段
    vlan id 是由pvid赋予的么
    sw1 用trunk R1 用access 这样可以?
    2.生成树协议
    1)广播风暴
    2)MAC震荡
    MAC move detected, VlanId = 9, MacAddress = 0000-5e00-0109, Original-Port = GE0/0/5, Flapping port = GE0/0/6. Please check the network accessed to flapping port.
    3个STP的标准:1)802.1D 2)802.1w(加快了收敛) 3)802.1s(加快了收敛,同时对VLAN进行分组-实例)
    选举1:选举皇帝(根交换机)
    桥ID(bridge ID):优先级(32768)+背板MAC(不是端口MAC),先对比优先级,数值小的优先;MAC地址较小的成为ROOT
    display stp
    -------[CIST Global Info][Mode MSTP]-------
    CIST Bridge :32768.4c1f-ccb7-3b11
    CIST Bridge :4096 .4c1f-cca0-1ef8
    CIST Bridge :32768.4c1f-ccbd-35ba
    汇聚层设备应该是根设备、备份根设备
    ===========================
    作业:
    1)思科:交换机互联接口实施trunk,本征vlan需要增加TAG,连接终端的接口分别接入vlan8、9、10、11、12
    2)A、R1可以和PC、PC2通信,但是PC1和PC2不可以通信(混杂模式)
    B、交换机互联接口实施trunk,本征vlan为VLAN 99,连接终端的接口分别接入vlan8、9、10、11、12

    课程笔记结束

    ------------------------------------

    QCNA5-28-华为的混杂端口实施.mp4 

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    转载于:https://www.cnblogs.com/alexhjl/p/10929796.html

    展开全文
  • HCNA题库(包括hcna-security、hcna-storage、hcna-hntd、hcna-uc、hcna-vc)
  • HCNA视屏教程

    2018-06-15 13:02:50
    hcna视屏hcna视屏hcna视屏hcna视屏hcna视屏hcna视屏hcna视屏hcna视屏
  • HCNA云服务题库

    2019-02-15 16:38:40
    HCNA云服务题库
  • hcna无线教材

    2018-09-10 16:43:12
    hcna华为无线教材
  • HCNA培训教材

    2018-09-03 15:00:31
    HCNA培训教材、
  • 2018HCNA题库大全

    2018-12-28 11:13:41
    hcna-
  • HCNA模拟考试

    2018-03-09 13:06:41
    HCNA模拟考试软件,内含考试题库大概有500道,适合准备考HCNA的同学进行测试
  • hcna-cloud

    2018-01-18 20:04:53
    hcna-cloud云计算
  • HCNA全套视频教程

    2018-11-27 14:59:09
    乾颐堂安德-HCNA入门版和进阶版课程,鸿鹄论坛_HCNA8全套HCNA教程
  • hcna知识要点

    2019-04-22 20:05:02
    hcna所有知识的简单总结,基本囊括了hcna的所有原理知识。其中包括了网络七层模型三层架构,以及他们的详解。其中还包括了一些网络面试所用的术语。基本可以运用于一些网络基础的面试问题
  • HCNA云培训教材

    2018-03-22 11:09:45
    HCNA云培训教材HCNA云培训教材HCNA云培训教材HCNA云培训教材
  • hcna复习资料

    2016-05-08 12:57:51
    hcna复习资料
  • HCNA培训课件

    2017-04-06 09:21:26
    华为HCNA认证全套课件
  • hcna综合实验

    2018-12-08 15:17:08
    hcna综合实验拓扑图,需要用ENSP打开,有需要的自取,版本510
  • 华为HCNA笔记

    2017-05-05 14:00:29
    华为HCNA初学者笔记资料
  • HCNA练习题

    2018-07-20 09:30:06
    学习hcna云计算的一些习题,需要的拿走吧,都是基础习题
  • HCNP + HCNA全部教材

    2019-03-04 09:22:09
    HCNP + HCNA全部教材。 HCNP+HCNA全部教材 hcna hcnp HCNP+HCNA
  • hcna路由基础

    2018-05-03 09:53:38
    hcna路由基础概要,使用笔记,思路清晰、思路清晰、思路清晰。
  • HCNA》习题

    2018-02-10 19:43:05
    HCNa 路由交换 的习题,包括 RIP,OSPF等路由协议的习题
  • HCNA基础习题

    2018-07-13 12:55:29
    华为的HCNA入门习题,需要的话可以留邮箱,我继续更新习题,答案下期和习题一起发出
  • 华为HCNA数通

    2016-12-27 21:02:53
    华为HCNA考试认证——静态路由
  • HCNA实验指南

    2018-04-03 19:10:58
    华为ICT 认证 HCNA 考试用书。。。。。。。。。。。。。
  • HCNA存储题库

    2018-04-26 19:50:58
    HCNA存储题库,对华为网络技术大赛初赛挺有帮助的,考前想刷题的可以HAVE A TRY.
  • HCNA培训资料

    2018-02-01 11:18:32
    HCNA官方培训资料,包含路由交换等资料,为方便大家演习,特上传分享给大家

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,443
精华内容 577
关键字:

hcna